как я понял именно эта машина по сети раскидывала вирус Alman. по запросу могу выслать карантин - куча всего. ДрВеб неоднократно чистил машинку в безопасном и обычном режиме - не помогает
как я понял именно эта машина по сети раскидывала вирус Alman. по запросу могу выслать карантин - куча всего. ДрВеб неоднократно чистил машинку в безопасном и обычном режиме - не помогает
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\zyzxjime.dll',''); QuarantineFile('C:\WINDOWS\system32\yxcschlp.dll',''); QuarantineFile('C:\WINDOWS\system32\zxmsdwin.dll',''); DeleteService('eth8023'); DeleteService('f28907d'); QuarantineFile('C:\WINDOWS\system32\f28907d.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\eth8023.sys',''); QuarantineFile('C:\WINDOWS\system32\b71fe93.sys',''); QuarantineFile('C:\WINDOWS\system32\b1a18a3e.sys',''); DeleteService('6457aed'); DeleteService('b71fe93'); DeleteService('b1a18a3e'); QuarantineFile('C:\WINDOWS\system32\6457aed.sys',''); QuarantineFile('C:\WINDOWS\system32\XR5nPhu9.dll',''); QuarantineFile('C:\WINDOWS\system32\x8RbVCvpMmw.dll',''); QuarantineFile('C:\WINDOWS\system32\wS0GWMZ.dll',''); QuarantineFile('C:\WINDOWS\system32\wBJk3Fs8ghs.dll',''); QuarantineFile('C:\WINDOWS\system32\VAHVqDG3.dll',''); QuarantineFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll',''); QuarantineFile('C:\WINDOWS\system32\MGmdqtJZG47.dll',''); QuarantineFile('C:\WINDOWS\system32\J9mfQxkJ.dll',''); QuarantineFile('C:\WINDOWS\system32\gggg6sZAbKcD.dll',''); QuarantineFile('C:\WINDOWS\system32\etGBJk2YCXnM.dll',''); QuarantineFile('C:\WINDOWS\system32\efc0c52cc1.dll',''); QuarantineFile('C:\WINDOWS\system32\E4814792.dll',''); QuarantineFile('C:\WINDOWS\system32\D9C002DD.dll',''); QuarantineFile('C:\WINDOWS\system32\d7eb91606b0.dll',''); QuarantineFile('C:\WINDOWS\system32\CCCA2FB9.dll',''); QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll',''); QuarantineFile('C:\WINDOWS\system32\a643af61f812.dll',''); QuarantineFile('C:\WINDOWS\system32\A1A6BC2E.dll',''); QuarantineFile('C:\WINDOWS\system32\A0C86020.dll',''); QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll',''); QuarantineFile('C:\WINDOWS\system32\704C3595.dll',''); QuarantineFile('C:\WINDOWS\system32\56BC86C7.dll',''); QuarantineFile('C:\WINDOWS\system32\3D144530.dll',''); QuarantineFile('C:\WINDOWS\system32\122B901E.dll',''); DeleteFile('C:\WINDOWS\system32\122B901E.dll'); DeleteFile('C:\WINDOWS\system32\3D144530.dll'); DeleteFile('C:\WINDOWS\system32\56BC86C7.dll'); DeleteFile('C:\WINDOWS\system32\704C3595.dll'); DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll'); DeleteFile('C:\WINDOWS\system32\A0C86020.dll'); DeleteFile('C:\WINDOWS\system32\A1A6BC2E.dll'); DeleteFile('C:\WINDOWS\system32\a643af61f812.dll'); DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll'); DeleteFile('C:\WINDOWS\system32\CCCA2FB9.dll'); DeleteFile('C:\WINDOWS\system32\d7eb91606b0.dll'); DeleteFile('C:\WINDOWS\system32\D9C002DD.dll'); DeleteFile('C:\WINDOWS\system32\E4814792.dll'); DeleteFile('C:\WINDOWS\system32\efc0c52cc1.dll'); DeleteFile('C:\WINDOWS\system32\etGBJk2YCXnM.dll'); DeleteFile('C:\WINDOWS\system32\gggg6sZAbKcD.dll'); DeleteFile('C:\WINDOWS\system32\J9mfQxkJ.dll'); DeleteFile('C:\WINDOWS\system32\MGmdqtJZG47.dll'); DeleteFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll'); DeleteFile('C:\WINDOWS\system32\VAHVqDG3.dll'); DeleteFile('C:\WINDOWS\system32\wBJk3Fs8ghs.dll'); DeleteFile('C:\WINDOWS\system32\wS0GWMZ.dll'); DeleteFile('C:\WINDOWS\system32\x8RbVCvpMmw.dll'); DeleteFile('C:\WINDOWS\system32\XR5nPhu9.dll'); DeleteFile('C:\WINDOWS\system32\6457aed.sys'); DeleteFile('C:\WINDOWS\system32\b1a18a3e.sys'); DeleteFile('C:\WINDOWS\system32\b71fe93.sys'); DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys'); DeleteFile('C:\WINDOWS\system32\f28907d.sys'); DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll'); DeleteFile('C:\WINDOWS\system32\yxcschlp.dll'); DeleteFile('C:\WINDOWS\system32\zyzxjime.dll'); ClearHostsFile; ExecuteRepair(9); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43390
Последний раз редактировалось PavelA; 07.04.2009 в 19:27.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Авз выдал
Ошибка Undeclared Identifier: 'Clear Host File' в позиции 73:15
авз перераспаковал - тот же результат.
попробовал из безопасного - без результата
удалил строку - запустил, перегрузил.
дрвеб продолжает находить Alman. в сеть включать нельзя?
Последний раз редактировалось Чижъ; 07.04.2009 в 19:15.
Карантин надо присылать ,да и логи новые делать.
Там слишком много всего было за один раз не управишься.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
понял, ушел делать логи, буду завтра
прогнал через AVPTool
и в обычном, и в безопасном - ошибка svchost, и отсчет обратный времени. что-то еще можно сделать?
Логи-то получились?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
нет, логине успелись.
перебивать винду?
Попробуйте установить SP3 а потом сделать логи...
на флешке, принесенной с того компа детектятся
Win32.HLLW.Autoruner, Win32.Alman.1, Win32.Alman
Винду еще не переставлял. Если она не восстановима, то надолго ли она нам еще нужна в научных целях?
Все логи из-под SafeMode с незакрытым окномошибка svchost
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
Пришли AVZ.exe через карантин и форму загрузки карантина.
Добавлено через 3 минуты
Да, и пользуйся AVZ из моей подписи.
Последний раз редактировалось PavelA; 08.04.2009 в 16:58. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
полчаса мучался, но брать в карантин файл avz.exe он в упор не хотел. даже переименованный. загрузил в архив руками.
Файл сохранён как 090408_175043_1_49dcabb3d0a19.zip
avz - чистый, файлового вируса нет. Это уже неплохо.
Повтори скрипт из №2 в AVZ скаченной с http://depositfiles.com/files/sutnyhabc
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт н2 это
? просто не понятно почему 2 - он всего 1 былКод:skipped...
Добавлено через 4 минуты
- это зеркало?Код:http://ifolder.ru/10645842
депозит не доступен
Добавлено через 13 минут
скрипт не запускается, ошибка в том же месте
сейчас делаю новые логи, симптомы те же:Ошибка Undeclared Identifier: 'Clear Host File' в позиции 73:15
удалил строку - запустил, перегрузился комп.
если окно закрыть - выключени компа через минуту.Все логи из-под SafeMode с незакрытым окном
ошибка svchost
Последний раз редактировалось PavelA; 09.04.2009 в 12:27.
что бы не выключился комп при обратном отчете: пуск - выполнитьВключите AVZPM, повторите логи.Код:shutdown -a
спасибочто бы не выключился комп
в карантин попадает гадость, определяемая ДрВеб 5.0 как Trojan.PWS.wsgame.10968.
Если нужен - пришлю.
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: ijdybpaw.dll - {2A698452-C5D8-C584-C256-C264C987C5A2} - C:\WINDOWS\system32\ijdybpaw.dll (file missing) O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing) O2 - BHO: oohxebyt.dll - {6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6} - C:\WINDOWS\system32\oohxebyt.dll (file missing) O2 - BHO: zxmsdwin.dll - {7A041F13-A111-12A3-B0CF-F99818AA68A7} - C:\WINDOWS\system32\zxmsdwin.dll (file missing) O2 - BHO: apsggjba.dll - {7FD45A54-9875-698F-E56E-65102358FDF7} - C:\WINDOWS\system32\apsggjba.dll (file missing) O2 - BHO: ypcqghlp.dll - {80AF1289-F140-A140-D012-C1458759FC08} - C:\WINDOWS\system32\ypcqghlp.dll (file missing) O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\system32\zyzxjime.dll (file missing) O2 - BHO: hdf453d.dll - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - C:\WINDOWS\system32\hdf453d.dll (file missing) O20 - AppInit_DLLs: 01AFE3DC.dll,HBmhly.dll O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll (file missing)
Повторите логи...Код:begin DelBHO('{B629FF4F-ACDB-5C90-A098-FACB3456A26B}'); DelBHO('{AA59145F-315D-BC23-AC1F-145DF81A34AA}'); DelBHO('{80AF1289-F140-A140-D012-C1458759FC08}'); DelBHO('{7FD45A54-9875-698F-E56E-65102358FDF7}'); DelBHO('{7A041F13-A111-12A3-B0CF-F99818AA68A7}'); DelBHO('{6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6}'); DelBHO('{35671234-7890-ABCD-CDEF-567801237653}'); DelBHO('{2A698452-C5D8-C584-C256-C264C987C5A2}'); DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}'); DeleteService('HBKernel32'); DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys'); DeleteFile('01AFE3DC.dll'); DeleteFile('122B901E.dll'); DeleteFile('1FD51F1F.dll'); DeleteFile('201476D0.dll'); DeleteFile('29EA67E0.dll'); DeleteFile('2EF0D734.dll'); DeleteFile('3D144530.dll'); DeleteFile('4D023DE9.dll'); DeleteFile('4FBFD5A4.dll'); DeleteFile('56BC86C7.dll'); DeleteFile('5934EA2B.dll'); DeleteFile('66AFCB56.dll'); DeleteFile('755D0ED0.dll'); DeleteFile('950D1600.dll'); DeleteFile('9CA963CA.dll'); DeleteFile('A1A6BC2E.dll'); DeleteFile('A55F538E.dll'); DeleteFile('B6E23E89.dll'); DeleteFile('BA7EDF54.dll'); DeleteFile('C8FFD223.dll'); DeleteFile('C:\Program Files\Messenger\msgmr.dll'); DeleteFile('C:\WINDOWS\system32\08223B03.dll'); DeleteFile('C:\WINDOWS\system32\apsggjba.dll'); DeleteFile('C:\WINDOWS\system32\hdf453d.dll'); DeleteFile('C:\WINDOWS\system32\ijdybpaw.dll'); DeleteFile('C:\WINDOWS\system32\oohxebyt.dll'); DeleteFile('C:\WINDOWS\system32\ypcqghlp.dll'); DeleteFile('D9C002DD.dll'); DeleteFile('DA63E650.dll'); DeleteFile('DFB3DAC5.dll'); DeleteFile('E0D39066.dll'); DeleteFile('E4814792.dll'); DeleteFile('F8E07BB2.dll'); DeleteFile('FFAE967F.dll'); DeleteFile('HBmhly.dll'); DeleteFile('C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\WINDOWS\system32\yxcschlp.dll'); DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll'); DeleteFile('C:\WINDOWS\system32\zyzxjime.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('HBKernel32'); BC_Activate; RebootWindows(true); end.
№2 - это мое сообщение в этой теме под этим номером. Скрипт там верный, еще раз проверил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ошибка осталась, при запуске ИЕ тоже ошибка и он закрывается.
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
логи готовы
Уважаемый(ая) Чижъ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.