После заражения Winlock'ом был подобран ключик, система разблокирована. Теперь надо её почистить. Логи прилагаются.
После заражения Winlock'ом был подобран ключик, система разблокирована. Теперь надо её почистить. Логи прилагаются.
Последний раз редактировалось s1lver; 13.11.2010 в 03:06.
Пофиксить в Hijack
выполнить скриптКод:F2 - REG:system.ini: Shell=explorer.exe,user32.exe
затем следующийКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\user32.exe',''); QuarantineFile('c:\temp\UED552.tmp',''); DeleteService('GarenaPEngine'); QuarantineFile('C:\Documents and Settings\Dmitry\Desktop\r.exe',''); DelCLSID('99C6D1BB-7555-474C-91DA-D8FB62A9CC75'); QuarantineFile('C:\WINDOWS\system32\DQfE6R6V.dll',''); QuarantineFile('E:\rfo2\killrf.bat',''); QuarantineFile('Z:\!BACKUP\wake2.m3u',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('E:\md.exe',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('H:\md.exe',''); DeleteFile('H:\md.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('E:\md.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('Z:\!BACKUP\wake2.m3u'); DeleteFile('E:\rfo2\killrf.bat'); DeleteFile('C:\WINDOWS\Tasks\ACDSee Pro.job'); DeleteFile('C:\WINDOWS\Tasks\wake2.job'); DeleteFile('C:\WINDOWS\system32\DQfE6R6V.dll'); DeleteFile('c:\temp\UED552.tmp'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(8); Executerepair(13); Executerepair(16); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true); end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Карантин, который создал AVZ закачал (он был без пароля 'virus').
Файлы прикладываю.
Последний раз редактировалось s1lver; 13.11.2010 в 03:06.
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\CCRFG.SYS',''); DeleteService('CCRFG'); DeleteFile('C:\WINDOWS\system32\CCRFG.SYS'); BC_ImportAll; ExecuteSysClean; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
Скрипт выполнил, но файла карантина нет, да и самого CCRFG.SYS нет больше.
syscheck и mbam логи прикладываю.
Последний раз редактировалось s1lver; 13.11.2010 в 03:05.
Удалите в MBAM
Выполните скриптКод:Memory Modules Infected: C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> No action taken. C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken. c:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken. Registry Keys Infected: HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\AppID\{e81cf86b-f683-422a-b742-3f2427ea9d6a} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken. Registry Data Items Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Files Infected: C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> No action taken. C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken. C:\Program Files\&RQ1107\Historylib.dll (Trojan.KillAV) -> No action taken. C:\Program Files\WarRun\tfwc3\warcraft3 keygen.exe (Trojan.Agent) -> No action taken. C:\Program Files\Radmin\AdmDll.dll (PUP.RemoteAdmin) -> No action taken. C:\Program Files\Radmin\raddrv.dll (PUP.RemoteAdmin) -> No action taken. C:\WINDOWS\system32\raddrv.dll (PUP.RemoteAdmin) -> No action taken. C:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\BOdC0P0T.exe.a_a (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\G40O871d.exe.a_a (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\user32.exe (Trojan.Ransom) -> No action taken.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Сделайте лог MBAM
Карантин прислал. Лог прикладываю.
В MBAM не стал удалять radmin, т.к. он нужен.
Последний раз редактировалось s1lver; 13.11.2010 в 03:05.
В логе чисто. что с проблемой?
Рекомендую обновить:
- Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- Internet Explorer v6.00 до Internet Explorer v8.00;
- установить последние обновления на ОС.
-
Последний раз редактировалось s1lver; 04.02.2010 в 21:51.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\dmitry\desktop\r.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.30 ( DrWEB: Program.RemoteAdmin.205 )
- c:\windows\system32\user32.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@a8iDkClc )
- e:\autorun.inf - Worm.Win32.AutoRun.gvb ( NOD32: Win32/LockScreen.AX trojan )
- e:\md.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@a8iDkClc )
- h:\autorun.inf - Worm.Win32.AutoRun.gvb ( NOD32: Win32/LockScreen.AX trojan )
- h:\md.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hq0@a8iDkClc )
Уважаемый(ая) s1lver, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.