-
Junior Member
- Вес репутации
- 54
машина полная вирей
появилась сеня машина полностью виснущая.
в диспетчере задач увидел процесс lsass.exe полностью забирающий на себя весь проц.
решил прогнать на вири курьетом. удалил кучу троянов. для успокоения своей души и чтобы не переставлять винду решил обратиться к вам за помощью. логи прикладываю.
П.С. появилась еще одна машина с такойже болезнью. может подскажите как это лечить быстро?!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('\\?\globalroot\systemroot\system32\ifG5aP8.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ddAGj17.exe','');
QuarantineFile('C:\WINDOWS\system32\mreyuidy.dll','');
QuarantineFile('C:\Program Files\Common Files\dtmp.crt','');
QuarantineFile('C:\DOCUME~1\329A~1\LOCALS~1\Temp\tr7YX7Ie.sys','');
DeleteFile('C:\DOCUME~1\329A~1\LOCALS~1\Temp\tr7YX7Ie.sys');
DeleteFile('C:\WINDOWS\system32\mreyuidy.dll');
DeleteFile('\\?\globalroot\systemroot\system32\ddAGj17.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ifG5aP8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
все сделал. логи прикладываю.
карантин отправлен.
Файл сохранён как 100803_124245_virus_4c57d685be532.zip
Размер файла 114606
MD5 370b7cfa4679b4350c2d50411bc0b379
-
Файл srvsvc.dll есть в папке system32?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('c:\windows', '*.exe,*.dll', false,'', 0, 0, '6.07.2010', '3.08.2010');
DeleteFile('C:\Program Files\Common Files\dtmp.crt');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
в карантине ничего не оказалось. следовательно архивировать программа отказалась.
запрошенный лог приложен.
-
Сообщение от
ДИМАС
в карантине ничего не оказалось.
Папку не ту я указал
Давайте хотя бы остатки закарантиним
Выполните скрипт в AVZ
Код:
begin
QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '6.07.2010', '3.08.2010');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\1O7XzHO.exe
c:\windows\system32\j4CE63M.exe
c:\windows\system32\ah6U0SS.exe
c:\windows\system32\QFrjcJU.exe
c:\windows\system32\x1A8PL7.exe
c:\windows\system32\xVL6PUB.exe
c:\windows\system32\ZoBQkzk.exe
c:\windows\system32\SjjF01r.exe
c:\windows\system32\ldzOZh6.exe
c:\windows\system32\LEP0wBE.exe
c:\windows\system32\GmjyrY1.exe
c:\windows\system32\VikzHDy.exe
c:\windows\system32\ipcyrm.exe
c:\windows\system32\odfdbv.exe
c:\windows\system32\MKyfBQj.exe
c:\windows\system32\lWl3c84.exe
c:\windows\system32\9DSvcRH.exe
c:\windows\system32\aQgk0Uc.exe
c:\windows\system32\94a9dfe8.exe
c:\windows\system32\YSrObZY.exe
c:\windows\system32\lQnI9Ty.exe
c:\windows\system32\tmp.tmp
c:\windows\tmp.tmp
c:\documents and settings\Электроник\tmp.tmp
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
карантин отправлен:
Файл сохранён как 100804_052258_virus_4c58c0f29a1a8.zip
Размер файла 1943963
MD5 b557b8c19a8a7bff562f32b2aa333666
запрашиваемый лог прикладывается
подскажите что делать со второй машиной. таже болячка.
-
-
-
Junior Member
- Вес репутации
- 54
тишина. как последнии логи сделал и все!
-
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\common files\dtmp.crt - Trojan-Dropper.Win32.Agent.cnaa ( BitDefender: Gen:Trojan.Heur.LP.cq4@a0HPffc )
- c:\windows\system32\ah6u0ss.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\aqgk0uc.exe - Backdoor.Win32.Shiz.jz ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407245, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\gmjyry1.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ipcyrm.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@ampZnUoi )
- c:\windows\system32\j4ce63m.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\ldzozh6.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\lep0wbe.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\lqni9ty.exe - Trojan.Win32.Jorik.Shiz.ae ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\lwl3c84.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mkyfbqj.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\mreyuidy.dll - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Siggen1.63893, BitDefender: Gen:Trojan.Heur.LP.cu8@aW5wyOci, NOD32: Win32/Agent.OFM trojan )
- c:\windows\system32\odfdbv.exe - Trojan.Win32.Jorik.Shiz.ay ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\qfrjcju.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sjjf01r.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\vikzhdy.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\xvl6pub.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\x1a8pl7.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\ysrobzy.exe - Trojan.Win32.Jorik.Shiz.ai ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\zobqkzk.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\1o7xzho.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
- c:\windows\system32\9dsvcrh.exe - Backdoor.Win32.Shiz.jz ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407245, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\94a9dfe8.exe - Trojan.Win32.Scar.cmoq ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4543820, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )
-