-
Junior Member
- Вес репутации
- 62
Множественные вирусы
На компьютере вирусы. Один просил денег через смс и не давал загружаться. В безопасном режиме КурИт этот вирус удалил, АВЗ поправил ключи реестра, так что все стало запускаться... но в автозагрузке есть странные файлы, которые КурИТ не определят как вирус... Утилита Касперсого не запускается (после распаковки далее ничего не происходит). Он-лаин проверка на авп. ру говорит что некоторые файлы из автозагрузки - трояны...
Автоматически вылечить компьютер не получается. Помогите вылечить этот компьютер.
Последний раз редактировалось r403; 16.10.2009 в 12:02.
Причина: орфография -:)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте
Отключите восстановление системы!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ADMIN\gcauthc.msg','');
QuarantineFile('C:\SYSTEM\XPrights.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\svcst.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\seres.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN10.tmp','');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\DOCUME~1\ADMIN\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\windows\system32\restorer32_a.exe','');
QuarantineFile('C:\windows\system32\regedit.exe','');
QuarantineFile('C:\windows\system32\qtplugin.exe','');
QuarantineFile('C:\windows\system32\portmap.exe','');
QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\seres.exe','');
QuarantineFile('c:\documents and settings\admin\restorer32_a.exe','');
QuarantineFile('c:\windows\system32\restorer32_a.exe','');
TerminateProcessByName('c:\documents and settings\admin\restorer32_a.exe');
TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\documents and settings\admin\restorer32_a.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\seres.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\svcst.exe');
DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
DeleteFile('C:\windows\system32\regedit.exe');
DeleteFile('C:\windows\system32\restorer32_a.exe');
DeleteFile('C:\DOCUME~1\ADMIN\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN10.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN11.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN6.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN7.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BN8.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\BND.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\seres.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-823518204-507921405-839522115-1003\Dc1\Quarantine\svcst.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','restorer32_a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Antivirus Pro 2010');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам + лог GMER
-
-
Junior Member
- Вес репутации
- 62
Сделал
Гмер говорит о рут ките..
WARNING Gmer has found system modification, which might have been caused by ROOTKIT activity.
а в окне логов:
svchost.ehe (***hidden***) [AUTO] bnadfijt
Последний раз редактировалось r403; 16.10.2009 в 14:28.
-
Junior Member
- Вес репутации
- 62
Карантин до Вас дошел или его еще раз повторить (не пойму, где отображается это)
Добавлено через 41 минуту
Сейчас я в системе не вижу явных проблем. Но утилита касперского так и не стала запускаться: распаковывается и ничего дальше не происходит, ни в безопасном режиме, ни в нормальном.
Не подскажите, что говорят логи..
Последний раз редактировалось r403; 16.10.2009 в 15:20.
Причина: Добавлено
-
Карантин пришел.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\qtplugin.exe','');
QuarantineFile('C:\windows\system32\portmap.exe','');
QuarantineFile('C:\windows\system32\wbmwdmvg.dll','');
DeleteFile('C:\SYSTEM\XPrights.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service bnadfijt
gmer.exe -del file "C:\windows\system32\wbmwdmvg.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bnadfijt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bnadfijt"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новые логи AVZ по правилам + новый лог gmer.
C:\windows\system32\qtplugin.exe
C:\windows\system32\portmap.exe
Проверьте эти файлы на www.virustotal.com, результат сообщите
-
-
Junior Member
- Вес репутации
- 62
Что получилось - сделал:
Логи снова собрал.
Карантин собрал и загрузил, но что-то мне кажется что в него не попало то, что Вы просили... Почему-то я не увидел этих файлов в папке 'C:\windows\system32'
Соответственно, я не смог проверить на http://www.virustotal.com/ru/ - т.к. не нашел указанных екзешников, хотя смотрел фаром с включенным показом "всех" файлов.
про скрипт в gmer.exe... я что-то напутал может быть, но помоему на каждую строчку, кроме ребута. Гмер сообщал об ошибке, "не найдено"....
Логи Вам выслал.
Спасибо за помощь
-
В логах ничего подозрительного. Жалобы есть?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 50
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.fmi ( BitDefender: Trojan.Downloader.Kobcka.M )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bnd.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn10.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn11.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn6.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn7.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\bn8.tmp - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\seres.exe - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\recycler\s-1-5-21-823518204-507921405-839522115-1003\dc1\quarantine\svcst.exe - Trojan-Downloader.Win32.FraudLoad.wsvt ( DrWEB: Trojan.Fakealert.5269, BitDefender: Trojan.FakeAlert.BNS, NOD32: Win32/TrojanDownloader.FakeAlert.AJT trojan, AVAST4: Win32:MalOb-W [Cryp] )
- c:\system\xprights.exe - Trojan.Win32.Agent.dbcq ( BitDefender: Trojan.Generic.2439572 )
- c:\windows\system32\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.fmi ( BitDefender: Trojan.Downloader.Kobcka.M )
-