Junior Member
Вес репутации
54
Меняет avz.exe
Сразу пробовали лечить не по науке. Базы конца июня были.
Даже в Safe Mode (во всех остальных иногда до логина, иногда после был bsod) hjgruirtedwjjb.dll внедрялась почти во все процессы, в т.ч. в avz.exe, меняла размер. Принудительно выгружалась из всех замеченных, но при последующем лечении все равно конфликтовала с драйвером avz.
При диагностике уже по правилам cureit писала "память не может быть read" и падала.
Субж
Заранее благодарю...
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruixiltiqjv.sys','');
QuarantineFile('C:\WINDOWS\system32\hjgruijgrkrown.dll','');
DeleteFile('C:\WINDOWS\system32\hjgruijgrkrown.dll');
DeleteFile('C:\WINDOWS\system32\drivers\hjgruixiltiqjv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
После скрипта все начало внушать надежду.
Винды попросили восстановить оригинальные версии файлов - сделал. explorer.exe правда после пришлось запустить руками.
Но вот после подключения к инету стало опять плохо.
Вложения
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('c:\windows\system32\drivers\hjgruixiltiqjv.sys','');
QuarantineFile('c:\windows\system32\hjgruirtedwjjb.dll','');
QuarantineFile('c:\windows\system32\hjgruiaryvppfa.dat','');
QuarantineFile('c:\windows\system32\hjgruijgrkrown.dll','');
QuarantineFile('c:\windows\system32\hjgruisteedypy.dat','');
DeleteFile('c:\windows\system32\drivers\hjgruixiltiqjv.sys');
DeleteFile('c:\windows\system32\hjgruirtedwjjb.dll');
DeleteFile('c:\windows\system32\hjgruiaryvppfa.dat');
DeleteFile('c:\windows\system32\hjgruijgrkrown.dll');
DeleteFile('c:\windows\system32\hjgruisteedypy.dat');
QuarantineFile('C:\Documents and Settings\Максим\ms18_word.exe','');
QuarantineFile('C:\Documents and Settings\Максим\reader_s.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\ms18_word.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\ms18_word.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temporary Internet Files\Content.IE5\WZV4JMV2\stat[1].htm','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\zlqyfelp7.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\ms18_word.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\ms18_word.exe');
DeleteFile('C:\Documents and Settings\Максим\reader_s.exe');
DeleteFile('C:\Documents and Settings\Максим\ms18_word.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service hjgruiulqbrsnk
gmer.exe -del file "c:\windows\system32\drivers\hjgruixiltiqjv.sys"
gmer.exe -del file "c:\windows\system32\hjgruirtedwjjb.dll"
gmer.exe -del file "c:\windows\system32\hjgruiaryvppfa.dat"
gmer.exe -del file "c:\windows\system32\hjgruijgrkrown.dll"
gmer.exe -del file "c:\windows\system32\hjgruisteedypy.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruiulqbrsnk"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruiulqbrsnk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruiulqbrsnk"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Последний раз редактировалось thyrex; 23.07.2009 в 01:22 .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
It's me again...
Хотел бы поблагодарить за Ваше внимание к моим нескромным тварям.
Вложения
Сделайте логи AVZ
C:\WINDOWS\system32\Drivers\NDIS.sys замените на чистый с дистрибутива в режиме консоли или с LiveCD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Вы не человек. Вы добрая фея...
Логи правда сделал после замены ndis.sys
Почти все чисто. Так, пару лохмотьев бесполезных осталось от злодея. \dllcache\ndis.sys уже удалил от греха подальше. А то nod поругивался.
Вложения
Сообщение от
bullbash
\dllcache\ndis.sys уже удалил от греха подальше.
Это правильно. Этот тоже был подменен
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteService('protect');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Скрипт пишет ошибку карантина с использованием прямого чтения. Ну и не добавляет protect.sys в карантин соответственно. Пробовал несколько раз. В первые разы не успевал прочитать, убрал перезагрузку. Похоже, что про удаление файла пишет каждый раз.
Вложения
Ничего подозрительного. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Проблемы, похоже, не было и до последнего скрипта.
Пошел снимать шляпу.
Спасибо и удачи тебе, землячек.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 21 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\максим\local settings\temporary internet files\content.ie5\wzv4jmv2\lo[1].htm - Trojan.Win32.Agent2.kxw ( DrWEB: Trojan.DownLoad.40611 ) c:\documents and settings\максим\local settings\temporary internet files\content.ie5\wzv4jmv2\lo[2].htm - Trojan.Win32.Agent2.kxw ( DrWEB: Trojan.DownLoad.40611 ) c:\documents and settings\максим\local settings\temporary internet files\content.ie5\wzv4jmv2\lo[3].htm - Trojan.Win32.Agent2.kxw ( DrWEB: Trojan.DownLoad.40611 ) c:\documents and settings\максим\local settings\temporary internet files\content.ie5\wzv4jmv2\lo[4].htm - Backdoor.Win32.HareBot.gd ( DrWEB: Trojan.DownLoad.40429 ) c:\documents and settings\максим\local settings\temporary internet files\content.ie5\wzv4jmv2\lo[5].htm - Backdoor.Win32.HareBot.gd ( DrWEB: Trojan.DownLoad.40429 ) c:\documents and settings\максим\local settings\temporary internet files\content.ie5\wzv4jmv2\stat[1].htm - Trojan-Dropper.Win32.Rooter.e ( DrWEB: Trojan.MulDrop.32538, BitDefender: Dropped:Rootkit.23672 ) c:\documents and settings\максим\ms18_word.exe - Backdoor.Win32.HareBot.gj c:\windows\system32\drivers\hjgruixiltiqjv.sys - Trojan.Win32.Tdss.aiol ( DrWEB: BackDoor.Tdss.266, BitDefender: Trojan.CryptRedol.Gen.3 ) c:\windows\system32\drivers\zlqyfelp7.sys - Rootkit.Win32.Agent.lsj ( DrWEB: Trojan.NtRootKit.3097, BitDefender: Rootkit.23672 ) c:\windows\system32\ms18_word.exe - Backdoor.Win32.HareBot.gj