спамерим 2

**ggR** · 12.10.2010, 17:38

Вообщем вот виновник.
Лог GMER сделать не могу, находит 2 скрытых процесса и при нажатии полной проверки, уходит в BSOD

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 12.10.2010, 17:48

Внимание! Запускаем AVZ правой кнопкой мыши -> От имени Администратора.

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\syspanel32.exe','');
 QuarantineFile('C:\Windows\TEMP\7280166c495b','');
 DeleteFile('C:\Windows\TEMP\7280166c495b');
 DeleteFile('C:\Windows\system32\syspanel32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('WPRO_40_1340');
 BC_DeleteSvc('ba1793dc0b94cf76');
BC_ServiceKill('prpfashi');
BC_ServiceKill('wwkndirp');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89780).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**ggR** · 12.10.2010, 19:23

Странно, в карантине пусто

**Bratez** · 13.10.2010, 03:30

С карантином это мой недосмотр.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Windows\System32\Drivers\wwkndirp.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\prpfashi.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Если что-то попадет, пришлите по правилам.

**ggR** · 13.10.2010, 04:39

Карантин выслал.
GMER так и находит 2 сервиса. И работа завершается после начала полного сканирования.

**ggR** · 13.10.2010, 09:31

Все что удалось

**thyrex** · 13.10.2010, 09:47

Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по prpfashi и выберите "Turn Run Off", потом подтвердите перезагрузку. Повторить для wwkndirp

Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\lodkdffl.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\wwkndirp.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\prpfashi.sys','');
 DeleteFile('C:\Windows\System32\Drivers\prpfashi.sys');
 DeleteFile('C:\Windows\System32\Drivers\wwkndirp.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**ggR** · 13.10.2010, 11:36

Если вас не затруднит, выложите альтернативные ссылки на скачку. У меня скачивается ни установочный пакет, ни портабл версия

Добавлено через 1 час 27 минут

нашел..

**ggR** · 13.10.2010, 14:45

логи
GMER теперь не показывает левые сервисы

**DefesT** · 13.10.2010, 16:22

Еще разок
В меню (OSAM) драйверов правой кнопкой по aujasnkj, prpfashi, wwkndirp и выберите "Turn Run Off". Подтвердите перезагрузку.
Закройте все программы, выполните скрипт в AVZ (перед этим скачайте актуальную версию AVZ!):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\Drivers\wwkndirp.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\ngbhjph.sys','');
 QuarantineFile('C:\Windows\TEMP\aujasnkj.sys','');
 DeleteService('ngbhjph');
 DeleteFile('C:\Windows\TEMP\aujasnkj.sys');
 DeleteFile('C:\Windows\System32\Drivers\ngbhjph.sys');
 DeleteFile('C:\Windows\System32\Drivers\wwkndirp.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Лог работы OSAM прикрепите к своему сообщению
Сделайте новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip

**ggR** · 13.10.2010, 19:14

карантин пустой

**ggR** · 14.10.2010, 08:32

Долечился сам, можно закрывать

**CyberHelper** · 15.10.2010, 08:32

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

спамерим 2 (заявка № 89780)

Опции темы

спамерим 2

Антивирусная помощь

Итог лечения

Похожие темы

Спамерим

Спамерим

Ваши права в разделе