Помогите правильно пролечить машину...

**andreyka65** · 25.09.2009, 23:50

Досталась машина по "наследству", но сильно уж вирусована.... помогите правильно пролечить....

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 26.09.2009, 00:22

Пофиксить в HiJack

Код:

F2 - REG:system.ini: Shell=explorer.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\CB4BDB90.DLL','');
 QuarantineFile('C:\WINDOWS\system32\slbiops.exe','');
 QuarantineFile('C:\WINDOWS\system32\odbccu32.exe','');
 QuarantineFile('C:\WINDOWS\system32\X9H805Q4O4\J002.exe','');
 DeleteService('fsaa');
 QuarantineFile('C:\WINDOWS\Fonts\323AF35A.EXE','');
 DeleteService('E22302FE');
 QuarantineFile('C:\WINDOWS\system32\actzkkef-sierver.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\360Safe.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\Drvftl.sys','');
  DeleteFile('C:\WINDOWS\Fonts\323AF35A.EXE');
 DeleteFile('C:\WINDOWS\system32\X9H805Q4O4\J002.exe');
 DeleteFile('C:\WINDOWS\Fonts\CB4BDB90.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**andreyka65** · 01.10.2009, 12:51

в четвертый раз пытаюсь выслать новые логи и карантин, эта тачка нормально работает после перезагрузки только 5 минут ;-(

**thyrex** · 01.10.2009, 21:16

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Logicle Disk');
 QuarantineFile('C:\WINDOWS\System32\ksxvvc.fsl','');
 QuarantineFile('C:\WINDOWS\System32\gghtqu.dlL','');
 QuarantineFile('C:\WINDOWS\system32\oobe\obeips.exe','');
 QuarantineFile('C:\WINDOWS\system32\slbiops.exe','');
 QuarantineFile('C:\Program Files\Windows NT\Accessories\write.exe','');
 QuarantineFile('C:\Program Files\Windows Media Player\wmpbands.exe','');
 QuarantineFile('C:\WINDOWS\system\wmpbanexl.exe','');
 QuarantineFile('C:\Program Files\Windows Media Player\wmpband.exe','');
 QuarantineFile('C:\WINDOWS\system32\Restore\srfriame.exe','');
 QuarantineFile('C:\WINDOWS\msagent\agentpsh.exe','');
 QuarantineFile('C:\WINDOWS\msagent\agentdpv.exe','');
 QuarantineFile('C:\WINDOWS\system32\actzkkef-sierver.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\360Safe.exe','');
 QuarantineFile('c:\windows\system32\appmgmts.dll','');
 DeleteFile('C:\WINDOWS\system32\odbccu32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

**andreyka65** · 02.10.2009, 23:49

Высылаю карантин... Повторные логи высылать?
P.S. При отправке в четвертом файл AVG сразу вырезал трояна...

**thyrex** · 03.10.2009, 00:36

Будем отстреливать по частям

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Plug Play Spooler');
 DeleteService('RenPro(DPE)');
 DeleteService('Network DSDM SRV');
 DeleteService('Windows Management Audios');
 DeleteFile('C:\WINDOWS\system32\oobe\obeips.exe');
 DeleteFile('C:\Program Files\Windows Media Player\wmpband.exe');
 DeleteFile('C:\Program Files\Windows Media Player\wmpbands.exe');
 DeleteFile('C:\WINDOWS\system\wmpbanexl.exe');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**andreyka65** · 03.10.2009, 11:33

Вот новые логи...

**thyrex** · 03.10.2009, 18:50

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Logicle Disk Mianas');
 DeleteFile('C:\WINDOWS\system32\Restore\srfriame.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Код:

c:\windows\system32\appmgmts.dll
C:\WINDOWS\TEMP\Drvftl.sys
C:\WINDOWS\system32\drivers\360Safe.exe
C:\Program Files\Windows NT\Accessories\write.exe

Пришлите согласно Приложению 2 правил

**andreyka65** · 03.10.2009, 21:14

Нормально копировался только первый файл, остальные с ошибкой....

**thyrex** · 03.10.2009, 21:48

c:\windows\system32\appmgmts.dll нужно заменить по этой методике (лучше с дистрибутива)

Остальные три файла скопируйте в другое место, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

**andreyka65** · 03.10.2009, 22:53

Файл заменил...
Трех файлов нет... искал через стандартный проводник, а также через avz...
По этим путям ничего не находит..
Машина вроде работает..
Логи повторить?

**thyrex** · 03.10.2009, 23:07

Сделайте

**andreyka65** · 03.10.2009, 23:44

Повторяю....

**thyrex** · 04.10.2009, 11:50

Код:

C:\WINDOWS\System32\gghtqu.dlL
C:\WINDOWS\System32\ksxvvc.fsl

Пришлите согласно Приложения 2 правил

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

**andreyka65** · 04.10.2009, 13:26

Карантин не удается.... в avz выдается ошибка...
Через проводник и avz файлы не находятся.. ;-(
Скрипт выполнил...

**AndreyKa** · 05.10.2009, 22:12

Установите Service Pack 2 на Windows.
Установите обновления безопасности на Windows.
Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\fmswmj');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\fmswmj\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSSQLSrv\Parameters','ServiceDll');
end.

Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**CyberHelper** · 06.10.2009, 22:12

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\windows media player\wmpband.exe - Trojan.Win32.KillAV.egi ( BitDefender: Gen:Trojan.Heur.wiW@rzsGzFdiy, AVAST4: Win32:Trojan-gen )
2. c:\windows\fonts\cb4bdb90.dll - Backdoor.Win32.Popwin.coo ( DrWEB: Trojan.Popwin.1212, BitDefender: Win32.Worm.Winko.I )
3. c:\windows\fonts\323af35a.exe - Trojan.Win32.Semki.fp ( DrWEB: Trojan.MulDrop.35530, BitDefender: Win32.Worm.Winko.I, NOD32: Win32/Popwin.NCH trojan, AVAST4: Win32:Trojan-gen )
4. c:\windows\system32\appmgmts.dll - Trojan-Downloader.Win32.Small.anpj ( BitDefender: Trojan.Generic.2485467, NOD32: Win32/KillAV.NFL trojan )
5. c:\windows\system32\odbccu32.exe - Worm.Win32.Runfer.cxi ( DrWEB: BackDoor.RemoteABC.15, BitDefender: Gen:Trojan.Heur.xiW@r1rp7qfay, AVAST4: Win32:Trojan-gen )
6. c:\windows\system32\oobe\obeips.exe - Backdoor.Win32.Hupigon.ihkr ( BitDefender: Gen:Trojan.Heur.DOWarXG9zImjy, AVAST4: Win32:Trojan-gen )
7. c:\windows\system32\restore\srfriame.exe - Worm.Win32.Runfer.cxk ( BitDefender: Gen:Trojan.Heur.xiW@rHY7t9gay )
8. c:\windows\system32\x9h805q4o4\j002.exe - Trojan.Win32.Scar.xvz ( DrWEB: Trojan.Siggen.4962, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )

Помогите правильно пролечить машину... (заявка № 55608)

Опции темы

Помогите правильно пролечить машину...

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Помогите пролечить

помогите вылечить машину!

Помогите почистить машину

Ребята, помогите почистить машину.

Помогите пролечить ....

Ваши права в разделе