После BSOD исчезли точки восстановления и начали сочится трояны в папку temp до 400 штук в час.Symantec нервно курит в сторонке - ботву режет,корней не видит..
на virustotal.info указанный в логах digiwet.dll опасным не значится.
tnx in advance
После BSOD исчезли точки восстановления и начали сочится трояны в папку temp до 400 штук в час.Symantec нервно курит в сторонке - ботву режет,корней не видит..
на virustotal.info указанный в логах digiwet.dll опасным не значится.
tnx in advance
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('C:\Documents and Settings\134\csrss.exe',''); QuarantineFile('C:\WINDOWS\system32\1bf44468.exe',''); QuarantineFile('C:\WINDOWS\system32\c855a52d.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe'); DeleteFile('C:\WINDOWS\system32\c855a52d.exe'); DeleteFile('C:\WINDOWS\system32\1bf44468.exe'); DeleteFile('C:\Documents and Settings\134\csrss.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
спасибо за Ваше время
1.Профиксите в HijackThis
2.Выполните скрипт в AVZКод:F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл sfcfiles.log прикрепите к сообщению
серьезно..
снова застукала в Temp прирост прямо в процессе.Не отрывая от сети сделала логи - 142 трояна( файл DWH_avz_log) .
Заинтересовало то,что avz усомнился в процессе DWHWizrd.exe ,а толпы вирей - всегда с именем DWH****.tmp
Сам Symantec их снова "закарантинил" при заказном осмотре.При чем он изолирует все файлы с такой маской,а avz примерно 1 из 5.
есть архив с копиями DWH****.temp - если надо,могу залить.
переставила Symantec Live Update на 9.00 - DHW****.temp начали снова возникать в очищенной папке темп точно в это время.
лечение по п.1 правил - лог в приложении.подмена драйвера Семантик...
о DHW****.temp и DWHWizrd.exe на форуме Symantec
http://www.symantec.com/connect/foru...cessive-memory
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe',''); QuarantineFile('C:\WINDOWS\system32\c855a52d.exe',''); QuarantineFile('C:\WINDOWS\system32\1bf44468.exe',''); DeleteFile('C:\WINDOWS\system32\1bf44468.exe'); DeleteFile('C:\WINDOWS\system32\c855a52d.exe'); DeleteFile('\\?\globalroot\systemroot\system32\7zmdWMy.exe'); QuarantineFile('\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20100929.021\NAVEX15.SYS',''); QuarantineFile('\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20100929.021\NAVENG.SYS',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
done!
удалите все что нашел MBAM, повторите лог MBAM
извините,что долго. после перезагрузки не открывались браузеры.
Symantec изолировал iissync .exe из C:\Avenger\
проблемы остались?
в темп опять куча этих DWH****.temp при попытке их сканировать MBAM или avz - срабатывает семантик и их изолирует.. вот прямо сейчас..при подключении в интернету комп подвисает минут на 5 мертво.
может Семантик переставить ?
или переставить обновление его на 1 раз в неделю и помониторить папку темп пока?
ЗЫ: хотя может он это натащил между зачисткой МВАМ и удалением iissync.exe ..зачищу темт еще раз и выжду.
Последний раз редактировалось Lis; 01.10.2010 в 13:16.
- сделайте лог Combofix
ок,спасибо.на выходных сделаю ComboFix.Восстановление системы должно быть включено при нем?
во вложении свежий MBAM
Последний раз редактировалось Lis; 01.10.2010 в 14:34.
выключите восстановление системы
Прошу прощения за задержку-были вопросы с провайдером.
Исходная проблема видимо решена - в темпе чисто 4й день,поэтому ComboFix не делала.Свежий MBAM чистый.
Большое спасибо за оперативную помощь!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 33
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Lis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.