машина полная вирей

**ДИМАС** · 03.08.2010, 12:10

появилась сеня машина полностью виснущая.
в диспетчере задач увидел процесс lsass.exe полностью забирающий на себя весь проц.
решил прогнать на вири курьетом. удалил кучу троянов. для успокоения своей души и чтобы не переставлять винду решил обратиться к вам за помощью. логи прикладываю.

П.С. появилась еще одна машина с такойже болезнью. может подскажите как это лечить быстро?!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 03.08.2010, 12:18

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('\\?\globalroot\systemroot\system32\ifG5aP8.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ddAGj17.exe','');
 QuarantineFile('C:\WINDOWS\system32\mreyuidy.dll','');
 QuarantineFile('C:\Program Files\Common Files\dtmp.crt','');
 QuarantineFile('C:\DOCUME~1\329A~1\LOCALS~1\Temp\tr7YX7Ie.sys','');
 DeleteFile('C:\DOCUME~1\329A~1\LOCALS~1\Temp\tr7YX7Ie.sys');
 DeleteFile('C:\WINDOWS\system32\mreyuidy.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\ddAGj17.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ifG5aP8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**ДИМАС** · 03.08.2010, 12:42

все сделал. логи прикладываю.
карантин отправлен.
Файл сохранён как 100803_124245_virus_4c57d685be532.zip
Размер файла 114606
MD5 370b7cfa4679b4350c2d50411bc0b379

**thyrex** · 03.08.2010, 12:59

Файл srvsvc.dll есть в папке system32?

**ДИМАС** · 03.08.2010, 13:01

да есть!

**thyrex** · 03.08.2010, 13:08

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('c:\windows', '*.exe,*.dll', false,'', 0, 0, '6.07.2010', '3.08.2010');
DeleteFile('C:\Program Files\Common Files\dtmp.crt');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**ДИМАС** · 03.08.2010, 13:27

в карантине ничего не оказалось. следовательно архивировать программа отказалась.
запрошенный лог приложен.

**thyrex** · 03.08.2010, 14:04

Сообщение от ДИМАС

в карантине ничего не оказалось.

Папку не ту я указал

Давайте хотя бы остатки закарантиним
Выполните скрипт в AVZ

Код:

begin
QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '6.07.2010', '3.08.2010');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\1O7XzHO.exe
c:\windows\system32\j4CE63M.exe
c:\windows\system32\ah6U0SS.exe
c:\windows\system32\QFrjcJU.exe
c:\windows\system32\x1A8PL7.exe
c:\windows\system32\xVL6PUB.exe
c:\windows\system32\ZoBQkzk.exe
c:\windows\system32\SjjF01r.exe
c:\windows\system32\ldzOZh6.exe
c:\windows\system32\LEP0wBE.exe
c:\windows\system32\GmjyrY1.exe
c:\windows\system32\VikzHDy.exe
c:\windows\system32\ipcyrm.exe
c:\windows\system32\odfdbv.exe
c:\windows\system32\MKyfBQj.exe
c:\windows\system32\lWl3c84.exe
c:\windows\system32\9DSvcRH.exe
c:\windows\system32\aQgk0Uc.exe
c:\windows\system32\94a9dfe8.exe
c:\windows\system32\YSrObZY.exe
c:\windows\system32\lQnI9Ty.exe
c:\windows\system32\tmp.tmp
c:\windows\tmp.tmp
c:\documents and settings\Электроник\tmp.tmp

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**ДИМАС** · 04.08.2010, 05:24

карантин отправлен:
Файл сохранён как 100804_052258_virus_4c58c0f29a1a8.zip
Размер файла 1943963
MD5 b557b8c19a8a7bff562f32b2aa333666

запрашиваемый лог прикладывается

подскажите что делать со второй машиной. таже болячка.

**polword** · 04.08.2010, 10:08

что с проблемой?

**ДИМАС** · 04.08.2010, 10:27

тишина. как последнии логи сделал и все!

**thyrex** · 04.08.2010, 11:03

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)

**ДИМАС** · 04.08.2010, 11:07

спасибо

**CyberHelper** · 05.08.2010, 11:07

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 25
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\common files\dtmp.crt - Trojan-Dropper.Win32.Agent.cnaa ( BitDefender: Gen:Trojan.Heur.LP.cq4@a0HPffc )
2. c:\windows\system32\ah6u0ss.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
3. c:\windows\system32\aqgk0uc.exe - Backdoor.Win32.Shiz.jz ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407245, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
4. c:\windows\system32\gmjyry1.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
5. c:\windows\system32\ipcyrm.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@ampZnUoi )
6. c:\windows\system32\j4ce63m.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
7. c:\windows\system32\ldzozh6.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
8. c:\windows\system32\lep0wbe.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
9. c:\windows\system32\lqni9ty.exe - Trojan.Win32.Jorik.Shiz.ae ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
10. c:\windows\system32\lwl3c84.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
11. c:\windows\system32\mkyfbqj.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aqZauEdi, AVAST4: Win32:MalOb-BW [Cryp] )
12. c:\windows\system32\mreyuidy.dll - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Siggen1.63893, BitDefender: Gen:Trojan.Heur.LP.cu8@aW5wyOci, NOD32: Win32/Agent.OFM trojan )
13. c:\windows\system32\odfdbv.exe - Trojan.Win32.Jorik.Shiz.ay ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
14. c:\windows\system32\qfrjcju.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
15. c:\windows\system32\sjjf01r.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
16. c:\windows\system32\vikzhdy.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a44AM8ci, AVAST4: Win32:MalOb-BW [Cryp] )
17. c:\windows\system32\xvl6pub.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
18. c:\windows\system32\x1a8pl7.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
19. c:\windows\system32\ysrobzy.exe - Trojan.Win32.Jorik.Shiz.ai ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
20. c:\windows\system32\zobqkzk.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
21. c:\windows\system32\1o7xzho.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:Malware-gen )
22. c:\windows\system32\9dsvcrh.exe - Backdoor.Win32.Shiz.jz ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407245, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
23. c:\windows\system32\94a9dfe8.exe - Trojan.Win32.Scar.cmoq ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4543820, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )

машина полная вирей (заявка № 84451)

Опции темы

машина полная вирей

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

куча вирей

Куча вирей сразу

посмотрите нет ли вирей

спасайте! полная машина всякой заразы

кому вирей?

Ваши права в разделе