-
с трудом зашел к вам на сайт. их куууча!
2 дня лечил - мочил. просмотрите логи. давайтк добьем их. п.с. чую трафик на лево идет. п.с. при установке каспера бзод модуль kl1.sys . удаляю его - все грузиццо.
и что то браузер не корректно работает. не работает автоматический переход на форум после входа. не смог вложения загрузить - небыло окошка куда их вставлять. синий экран после установки касперского. удаляю - все ок. чую сидят еще...давайте вместе их добъем
Последний раз редактировалось MasterAlexey; 20.11.2009 в 19:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В файле hosts удалите ВСЁ после 127.0.0.1 localhost
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\OOXRsT.dll','');
QuarantineFile('C:\WINDOWS\system32\mQJZfK.dll','');
QuarantineFile('C:\WINDOWS\system32\LSsIbF.dll','');
QuarantineFile('C:\WINDOWS\system32\CGZCdW.dll','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\msrtm32.exe','');
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\vsfocewmitlwow.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\79957371.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\79957371.sys');
DeleteFile('C:\WINDOWS\system32\drivers\vsfocewmitlwow.sys');
DeleteFile('C:\WINDOWS\msmacro64.exe');
DeleteFile('C:\WINDOWS\msrtm32.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('F:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\OOXRsT.dll');
DeleteFile('C:\WINDOWS\system32\mQJZfK.dll');
DeleteFile('C:\WINDOWS\system32\LSsIbF.dll');
DeleteFile('C:\WINDOWS\system32\CGZCdW.dll');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Файл сохранён как 090729_154122_virusinfo_cure_4a703562c07d1.zip
Размер файла 531578
MD5 f9385d7d6df963d4320260345132a78b
помогите еще IE восстановить....не могу файлы загружать..
Последний раз редактировалось MasterAlexey; 20.11.2009 в 19:24.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\vsfocexdqltavu.sys','');
QuarantineFile('c:\windows\system32\drivers\vsfocewmitlwow.sys','');
QuarantineFile('c:\windows\system32\drivers\vsfocexdqltavu.sys','');
QuarantineFile('c:\windows\system32\vsfoceyqjxvalk.dll','');
QuarantineFile('c:\windows\system32\vsfocedmtmimxf.dat','');
QuarantineFile('c:\windows\system32\vsfoceuhvxtueb.dll','');
QuarantineFile('c:\windows\system32\vsfocewnsthplt.dat','');
QuarantineFile('c:\windows\system32\drivers\vsfocewmitlwow.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('vsfocebrqowksi');
BC_DeleteSvc('vsfocefprigbfh');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Код:
Код:
gmer.exe -del service vsfocebrqowksi
gmer.exe -del service vsfocefprigbfh
gmer.exe -del file "c:\windows\system32\drivers\vsfocexdqltavu.sys"
gmer.exe -del file "c:\windows\system32\drivers\vsfocewmitlwow.sys"
gmer.exe -del file "c:\windows\system32\drivers\vsfocexdqltavu.sys"
gmer.exe -del file "c:\windows\system32\vsfoceyqjxvalk.dll"
gmer.exe -del file "c:\windows\system32\vsfocedmtmimxf.dat"
gmer.exe -del file "c:\windows\system32\vsfoceuhvxtueb.dll"
gmer.exe -del file "c:\windows\system32\vsfocewnsthplt.dat"
gmer.exe -del file "c:\windows\system32\drivers\vsfocewmitlwow.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocefprigbfh"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocebrqowksi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocebrqowksi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocefprigbfh"
gmer.exe -reboot
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
После перезагрузки повторите логи по правилам + gmer.
-
-
как второй код выполнить?
-
Сообщение от
MasterAlexey
как второй код выполнить?
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
Теперь видно?
PS:Наловили Вы рыбки, однако:
Код:
C:\WINDOWS\system32\CGZCdW.dll-Trojan.Win32.Delf.oav
C:\WINDOWS\system32\drivers\vsfocewmitlwow.sys- Trojan.Win32.Tdss.alax
C:\WINDOWS\system32\LSsIbF.dll, C:\WINDOWS\system32\mQJZfK.dll, C:\WINDOWS\system32\OOXRsT.dll-Trojan.Win32.Delf.oav
E:\autorun.inf, F:\autorun.inf -Worm.Win32.AutoRun.ttd
Последний раз редактировалось Rene-gad; 29.07.2009 в 16:52.
-
-
система не моя.каспера поставил. логи повторить не могу. возможно завтра... п.с. IE не корректно работает ....
кстати звери прикольные...так систему захавали.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\msrtm32.exe - Trojan-Downloader.Win32.Agent.cmkf ( DrWEB: Trojan.DownLoad.41071 )
- c:\windows\system32\cgzcdw.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21 )
- c:\windows\system32\drivers\vsfocewmitlwow.sys - Trojan.Win32.Tdss.alax ( BitDefender: Trojan.CryptRedol.Gen.3 )
- c:\windows\system32\lssibf.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21 )
- c:\windows\system32\mqjzfk.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21 )
- c:\windows\system32\ooxrst.dll - Trojan.Win32.Delf.oav ( DrWEB: Trojan.Annoy.21 )
- e:\autorun.inf - Worm.Win32.AutoRun.ttd
- f:\autorun.inf - Worm.Win32.AutoRun.ttd
-