-
Junior Member
- Вес репутации
- 56
Последствия Троянов
Некоторое время назад мои родители подцепили у себя на компьютере немыслимое кол-во троянов и прочих неприятностей. Вроде бы их почистили, но теперь у системы множество ошибок и работает очень медленно. Возможно в сервисе не все убрали?
Заранее спасибо!
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
KIKUNG
работает очень медленно
Неудивительно
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\nmwegbsf.dll','');
QuarantineFile('C:\Documents and Settings\user\Application Data\redir.dll','');
QuarantineFile('C:\WINDOWS\system32\symsvcsa.exe','');
QuarantineFile('C:\WINDOWS\erpobmsw.dll','');
QuarantineFile('C:\WINDOWS\adgpfoxs.dll','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\Program Files\boba\boba2\PodcastBar.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\NEventMessages.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6taxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6gmxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6flxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5rxxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5ovxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4rxxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4ntxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1yfxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0ekxx.sys','');
DeleteService('ati6taxx');
DeleteService('ati6gmxx');
DeleteService('ati6flxx');
DeleteService('ati5rxxx');
DeleteService('ati5ovxx');
DeleteService('ati4rxxx');
DeleteService('ati4ntxx');
DeleteService('ati1yfxx');
DeleteService('ati0ekxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0ekxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4ntxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4rxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ovxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5rxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6gmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6taxx.sys');
DeleteFile('C:\Documents and Settings\user\Application Data\redir.dll');
DeleteFile('C:\WINDOWS\nmwegbsf.dll');
DeleteFile('C:\WINDOWS\system32\symsvcsa.exe');
DeleteFile('C:\WINDOWS\erpobmsw.dll');
DeleteFile('C:\WINDOWS\adgpfoxs.dll');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\NEventMessages.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rs32net');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','adgpfoxs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','erpobmsw');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','aupd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Nokia software','EventMessageFile');
DelCLSID('{686B4BF6-E46C-4194-B3EA-09A5BAAF4A60}');
DelCLSID('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
DelCLSID('{BB604754-D031-4D2E-AB6C-BF3D367F6944}');
DelCLSID('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_ImportALL;
BC_DeleteSvc('ati6taxx');
BC_DeleteSvc('ati6gmxx');
BC_DeleteSvc('ati6flxx');
BC_DeleteSvc('ati5rxxx');
BC_DeleteSvc('ati5ovxx');
BC_DeleteSvc('ati4rxxx');
BC_DeleteSvc('ati4ntxx');
BC_DeleteSvc('ati1yfxx');
BC_DeleteSvc('ati0ekxx');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Закачайте карантин по ссылке вверху страницы. Повторите логи
-
-
Junior Member
- Вес репутации
- 56
Папка Карантин пустая
Вот новые логи:
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('ASPI32.sys','');
QuarantineFile('C:\WINDOWS\system32\Auralog\Tmm\Tol7Inst.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\Program Files\boba\boba2\PodcastBar.exe','');
QuarantineFile('C:\Den\l2\system\npkcrypt.sys','');
QuarantineFile('C:\Program Files\Cheat Engine\dbk32.sys','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Повторите логи
-
-
Junior Member
- Вес репутации
- 56
Карантин закачал, новые логи прилагаю.
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
В загруженном вами карантине один файл - остальные в карантин не попали? Включите AVZPM и повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 56
Загрузил все, что было в карантине.
Вот новые логи:
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe','');
QuarantineFile('C:\Den\l2\system\npkcrypt.sys','');
QuarantineFile('ASPI32.sys','');
DeleteFile('ASPI32.sys');
DeleteFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe');
DelCLSID('{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}');
DeleteService('ASPI32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Удалите Bonjour http://virusinfo.info/showthread.php?t=27923. Повторите логи
-
-
Junior Member
- Вес репутации
- 56
После скрипта компьютер сначала не захотел перезагружаться, т.е. он вышел из ХР; начал загружать биос, но вместо загрузки начал пикать. Кнопка ресет не давала результата. Включился только после того, как я выключил путем удерживания кнопки включения. В папке карантин появился папка за сегодняшнее число, однако она пустая. Прилагаю новые логи.
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
Скачайте и пролечитесь в безопасном режиме свежим CureIt http://www.freedrweb.com/cureit/?lng=ru, а затем сделайте в обычном режиме такой лог http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 56
Вот запрошенный лог, CureIt ничего не нашел.
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\boba\boba2\PodcastBar.exe','');
QuarantineFile('C:\Program Files\Windows Media Player\WMPNetwk.exe','');
QuarantineFile('C:\Den\l2\system\npkcrypt.sys','');
QuarantineFile('C:\Program Files\Cheat Engine\dbk32.sys','');
QuarantineFile('C:\Program Files\iTunes\iTunesHelper.Resources\en.lproj\iTunesHelperLocalized.DLL','');
QuarantineFile('C:\Program Files\iPod\bin\iPodService.Resources\en.lproj\iPodServiceLocalized.DLL','');
QuarantineFile('c:\windows\system32\wgatray.exe','');
DeleteFile('C:\PROGRA~1\FLASHS~1\save.htm');
DeleteFile('C:\Den\l2\system\npkcrypt.sys');
DelCLSID('{09EA1F80-F40A-11D1-B792-444553540001}');
BC_ImportALL;
BC_DeleteSvc('npkcrypt');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Повторите логи
-
-
Junior Member
- Вес репутации
- 56
Нужны только логи AVZ и HijackThis, или gmer тоже нужен?
-
-
-
Junior Member
- Вес репутации
- 56
Прилагаю логи. Еще решил включить картинку с ошибками, которые появляются при каждой загрузке (были до лечения, наверное надо было скрин сразу сделать). Карантин закачал.
ЗЫ А можете вообще прокомментировать - какие подозрения имеются?
Последний раз редактировалось KIKUNG; 19.08.2010 в 21:22.
-
Криминала в приложенных логах не вижу.
Переустановите/удалите программы Registry Mechanic и iTunes.
-
-
Junior Member
- Вес репутации
- 56
программы удалил, а что с логами?
что мне делать дальше?
-
В логах не видно ничего подозрительного.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-