Показано с 1 по 18 из 18.

Malware Doctor (заявка № 47441)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28

    Exclamation Malware Doctor

    Помогите пожалуйста с этим.

    Пробовали разные антивирусы. Ничего не помогает. Страдаем уже неделю, пока на ваш сайт не забрели.

    Очень просим.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Макафи деинсталировать обязательно, иначе ничего не получиться. Он авз мешает работать.
    Только после удаления хозяйства от макафи выполнить скрипт в авз:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     DelBHO('{aff01325-0fc2-4749-8914-fbf0565ad9cc}');
     QuarantineFile('C:\Documents and Settings\LocalService\Application Data\1361538659.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mfetdik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mfehidk.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\84492c52.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\4d804b7.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\478a92ea.sys','');
     QuarantineFile('C:\WINDOWS\system32\jbnmcd.dll','');
     TerminateProcessByName('c:\windows\system32\avast!antivirus.exe');
     QuarantineFile('c:\windows\system32\avast!antivirus.exe','');
     DeleteFile('c:\windows\system32\avast!antivirus.exe');
     DeleteFile('C:\WINDOWS\system32\jbnmcd.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\478a92ea.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\4d804b7.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\84492c52.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\mfehidk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\mfetdik.sys');
     DeleteFile('C:\Documents and Settings\LocalService\Application Data\1361538659.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать -> : http://virusinfo.info/upload_virus.php?tid=47441).
    Повторить логи.

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Я читал, что его надо удалить и сделал это перед диагностикой AVZ.
    Но возможно нужно было перегрузить компьютер после удаления макафи и только после этого делать диагностику?

    Сейчас макафи в трее по крайней мере не фигурирует. Гляну на запущенные службы.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от Blahonix Посмотреть сообщение
    Я
    Но возможно нужно было перегрузить компьютер после удаления макафи и только после этого делать диагностику?
    Естественно Ватсон, перезагрузка необходима Драйвера от него в логах висели.
    Выполняйте то что сказал.

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Я в шоке. Этот нехороший доктор пропал.
    Хотел бы знать, как вы это сделали. Спасибо.

    Карантин вложил.

    Логи минут через 30. Там руткиты остались и еще что-то.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    карантин по ссылке http://virusinfo.info/upload_virus.php?tid=47441 присылать, без красной карточки никак не понять?

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Сорри, забегался. Карантин отослал по ссылке.

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Сделал повторное сканирование.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Только что обнаружили, что с этого компьютера активно рассылается спам.
    IP-адрес в блок-листе.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Скачать Gmer. В нем найти и удалить:C:\WINDOWS\System32\drivers\47380c72.sys
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('c3fa27c5');
     QuarantineFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\84492c52.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\4d804b7.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\478a92ea.sys','');
     DeleteService('84492c52');
     DeleteService('4d804b7');
     DeleteService('478a92ea');
     QuarantineFile('C:\WINDOWS\System32\drivers\47380c72.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\47380c72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47441
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Сделал. Логи обновил.

    Гмер ругнулся на найденый в памяти руткит, но удалить не смог. Удалил руткит, запустив Gmer через AVZGuard.
    После прогона вашего скрипта, Gmer перестал ругаться.

    Карантин закачал.
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('c5b2b8ae');
     DeleteFile('C:\WINDOWS\System32\drivers\c5b2b8ae.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать заново логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Выполнил. Все сделал как велели, хотя спам пропал еще после предыдущего скрипта.

    Там действительно еще что-то есть или просто это перестраховка?
    Вложения Вложения

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Это зачистка следов. Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('84492c52');
     BC_DeleteSvc('4d804b7');
     BC_DeleteSvc('478a92ea');
     DeleteFile('C:\WINDOWS\System32\drivers\478a92ea.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\4d804b7.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\84492c52.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить станд скрипт №2 и прислать лог.

    После этого еще надо будет пролечить реестр по теме http://virusinfo.info/showthread.php?t=43700
    Последний раз редактировалось PavelA; 08.06.2009 в 17:47.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Выложил скрипт №2.
    Сейчас буду изучать тему лечения реестра.
    Вложения Вложения
    Последний раз редактировалось Blahonix; 10.06.2009 в 16:05.

  17. #16
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    13
    Вес репутации
    28
    Операционная система не обновляется. Пишет, что ошибка, недостаточно прав.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Blahonix Посмотреть сообщение
    Операционная система не обновляется.
    Реестр вылечили? Если нет, то обновляться не будет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,520
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 46
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\localservice\application data\1361538659.exe - not-a-virus:FraudTool.Win32.MalwareDoctor.ar ( DrWEB: Trojan.Fakealert.4335, BitDefender: Gen:Trojan.Heur.Hype.50609F9F9F )
      2. c:\progra~1\netsup~1\pcihooks.dll - Trojan-Spy.Win32.Agent.avvk ( DrWEB: Program.Keylogger.15 )
      3. c:\windows\system32\avast!antivirus.exe - Trojan-Downloader.Win32.Agent.cfbq ( DrWEB: Trojan.DownLoad.37569, BitDefender: Trojan.Downloader.Agent.AANY )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Blahonix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Malware Doctor
      От MexaHuk в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.06.2009, 18:27
    2. Malware Doctor
      От Alexandra91 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 07.06.2009, 17:44
    3. Malware doctor
      От w03zd8rc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.06.2009, 16:05
    4. Malware doctor
      От boobleman в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.06.2009, 12:54
    5. malware doctor
      От w03zd8rc в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.06.2009, 03:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00872 seconds with 22 queries