-
Junior Member
- Вес репутации
- 51
Вирус
Доброе время суток!
На компе при соединениии с интернетом, появляеться новое подключение с именем dialap.
Антивирусы не риагируют, стоял аваст, перестал запускать модуль защиты.
Установил XP SP3 проблема осталась.
Вложение 246194
Вложение 246195
Вложение 246196
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\WINDOWS\system32\73.scr','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2116121527-0640984751-615714433-5665\syscr.exe','');
QuarantineFile('c:\windows\system32\jnstm.exe','');
DeleteFile('c:\windows\system32\jnstm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2116121527-0640984751-615714433-5665\syscr.exe');
DeleteFile('C:\WINDOWS\system32\73.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 51
Выслал карантин, повторяю логи...
Подключение к инету работает стабильно.
Нового не появляеться. Возникла теперь проблема с самим подключением к инету, не сохраняються логин и пароль выдает ошибку :
ошибка 1305: уровень редакции неизвестен....
Вложение 246335
Вложение 246336
Вложение 246337
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8587940241-4052271578-246885530-1629\syscr.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
QuarantineFile('c:\windows\wndrive32.exe','');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8587940241-4052271578-246885530-1629\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Новая порция логов
Логин и пароль так и не сохраняет
Вложение 246854
Вложение 246855
Вложение 246863
-
1.удалите в MBAM
Код:
Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\wndrive32.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\53.exe (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\wndrive32.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\46.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\34.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\03.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\48.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\54.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\26.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\80.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\75.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\62.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\18.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\53.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\50.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\04.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\68.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\20.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\76.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\77.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\51.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\87.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\28.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GBQZ4M52\bro[1].jpg (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IHYLH259\jj[1].exe (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W343NGOI\Avast.Pro.4.8.1290[1].exe (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W343NGOI\bro[1].jpg (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663[2].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663x[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663x[2].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UN5U1YX6\bro[1].jpg (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UN5U1YX6\663[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\hn63[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\663[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\663[2].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\663x[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\R38PW0E4\jj[1].exe (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Admin.HOME\Local Settings\Temporary Internet Files\Content.IE5\64CN38LT\msall[1].new (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Admin.HOME\Local Settings\Temporary Internet Files\Content.IE5\B3CI41KX\calcz[1].data (Malware.Packer.Gen) -> No action taken.
C:\TEMP\453.exe (Malware.Packer.Gen) -> No action taken.
C:\TEMP\524.exe (Malware.Packer.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-6935851312-1956503043-359898228-7413\syscr.exe (Worm.Autorun.B) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00002.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00003.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00004.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00005.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\bcqr00009.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\bcqr00010.dta (Malware.Packer.Gen) -> No action taken.
E:\Закачки\newtstop.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\program files\windows nt\accessories\wordpad.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
[QUOTE=polword;655761]1.удалите в MBAM
Код:
Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\wndrive32.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\53.exe (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\wndrive32.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\46.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\34.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\03.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\48.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\54.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\26.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\80.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\75.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\62.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\18.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\53.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\50.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\04.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\68.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\20.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\76.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\77.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\51.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\87.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\28.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GBQZ4M52\bro[1].jpg (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IHYLH259\jj[1].exe (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W343NGOI\Avast.Pro.4.8.1290[1].exe (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W343NGOI\bro[1].jpg (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663[2].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663x[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\LYOZ1ETL\663x[2].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UN5U1YX6\bro[1].jpg (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\UN5U1YX6\663[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\hn63[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\663[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\663[2].exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\ENQBW3ZX\663x[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\R38PW0E4\jj[1].exe (Backdoor.IRCBot) -> No action taken.
C:\Documents and Settings\Admin.HOME\Local Settings\Temporary Internet Files\Content.IE5\64CN38LT\msall[1].new (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Admin.HOME\Local Settings\Temporary Internet Files\Content.IE5\B3CI41KX\calcz[1].data (Malware.Packer.Gen) -> No action taken.
C:\TEMP\453.exe (Malware.Packer.Gen) -> No action taken.
C:\TEMP\524.exe (Malware.Packer.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-6935851312-1956503043-359898228-7413\syscr.exe (Worm.Autorun.B) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00002.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00003.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00004.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\avz00005.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\bcqr00009.dta (Malware.Packer.Gen) -> No action taken.
D:\AVZ\Quarantine\2010-06-16\bcqr00010.dta (Malware.Packer.Gen) -> No action taken.
E:\Закачки\newtstop.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
Ребята, подскажите пожалуйста как в программе MBAM удалять все это?
Извините за глупый вопрос!!!!
-
-
-
Junior Member
- Вес репутации
- 51
удалить в MBAM то что скидывал первый раз не получилось, тоесть всего предыдущего списка небыло. Вчера снова начало появляться соединение dialap.
Отправил карантин AVZ.
По прежнему появляется сообщение
ошибка 1305: уровень редакции неизвестен....
Последний раз редактировалось PrinceRakim; 19.06.2010 в 14:32.
-
Junior Member
- Вес репутации
- 51
Вчера вернул ситему на XP SP2
ошибка 1305: уровень редакции неизвестен.... <--- эта ошибка исчезла,
но инет всеравно пропадает уже без появления нового подключения в ситевых подключениях.
Вложение 247697
Вложение 247698
Вложение 247699
-
Junior Member
- Вес репутации
- 51
Уважаемые хелперы, Огоромная просьба к вам, помогите пожалуйста справиться с вирусом!
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
Вот лог который просили!
avz_log.txt
-
-
-
Junior Member
- Вес репутации
- 51
Скачал заптпки из скрипта, вроде пока что стабильтно работает....
Пока тестирую, если что не так сразу напишу, Пока что огромное спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-2116121527-0640984751-615714433-5665\syscr.exe - P2P-Worm.Win32.Palevo.amkv ( DrWEB: Trojan.Inject.8863, BitDefender: Trojan.Generic.4199652 )
- c:\recycler\s-1-5-21-8587940241-4052271578-246885530-1629\syscr.exe - P2P-Worm.Win32.Palevo.ampu ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.253841, AVAST4: Win32:VBMod [Trj] )
- c:\windows\system32\jnstm.exe - Worm.Win32.Peda.g ( DrWEB: Trojan.Inject.8841, BitDefender: Worm.Generic.252553, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msvmiode.exe - Trojan.Win32.VBKrypt.bsw ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4155361, AVAST4: Win32:VBMod [Trj] )
- c:\windows\system32\36.exe - P2P-Worm.Win32.Palevo.ampu ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.253841, AVAST4: Win32:VBMod [Trj] )
- c:\windows\system32\73.scr - Worm.Win32.Peda.g ( DrWEB: Trojan.Inject.8841, BitDefender: Worm.Generic.252553, AVAST4: Win32:Malware-gen )
- c:\windows\wndrive32.exe - Net-Worm.Win32.Kolab.izd ( DrWEB: BackDoor.IRC.Bot.166, AVAST4: Win32:VBMod [Trj] )
-