-
Junior Member
- Вес репутации
- 57
Куча разных вирусов.
У знакомых на компе завелось куча вирусов.
Антивирус стоит Zillya!
Винда - XP Pro Philka Edition.
Так как находится у них для проведения всех пунктов для создания темы я не могу - ибо это занимает очень много времени, я к ним подконектился с помощью Radmin и Hamachi.
Так что я немного нарушил процедуру описаную в Правилах, а именно:
1. Сканирование компа утилитой AVPTool проводилось НЕ в безопасном режиме.
2. Пункт 5 - Отключите восстановление системы. не удалось выполнить, т.к. в Свойствах Системы отсутствует такая вкладка... Я уже всё перерыл. Перечитал в нэте кучу тем об этом. В груповых политиках лазил, и реестре. Так и не смог добится появления этой вкладки. Возможно вирус её забрал с потрохами
3. Отключитесь от сети Интернет и ...
Вот тут я не сделал следующего: не отключался от Интернета, ибо не смог бы продолжать управлять их компом удалённо. Не закрывал Radmin Server, Hamachi, ICQ (нужна для переписки с владельцем компа). И ещё у них есть утилита для доступа к Интернету от провайдера. Её тоже оставил включённой. IE забыл включить. Немного поспешил, и перед первым запуском сканирования не поотключал всех програм, в т.ч. и антивирус.
Остановил сканирование AVZ, выключил всё лишнее и запустил опять скрипт.
Перезагрузил, и запустил второй скрипт AVZ.
Потом по завершении скрипта запустил HiJackThis.
Последний раз редактировалось SergSlim; 16.10.2010 в 01:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {F08555B0-9CC3-11D2-AA8E-000000000567} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [Driver Control Manager v4.7] C:\Temp\dvadeset.exe
O4 - HKLM\..\Run: [Driver Control Manager v5.3] C:\Temp\dvadessest.exe
O4 - HKLM\..\Run: [Driver Control Manager v5.4] C:\Temp\dvadessedan.exe
O4 - HKLM\..\Run: [Driver Control Manager v5.5] C:\Temp\dvadesosan.exe
O4 - HKLM\..\Run: [Driver Control Manager v5.7] C:\Temp\tridesee.exe
O4 - HKLM\..\Run: [Driver Control Manager v5.8] C:\Temp\tridesejean.exe
O4 - HKLM\..\Run: [Driver Control Manager v5.9] C:\Temp\tridesedva.exe
O4 - HKLM\..\Run: [Driver Control Manager v6.0] C:\Temp\tridesetri.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Run: [Driver Control Manager v5.9] C:\Temp\tridesedva.exe
O4 - HKCU\..\Run: [Driver Control Manager v5.3] C:\Temp\dvadessest.exe
O4 - HKCU\..\Run: [Driver Control Manager v6.0] C:\Temp\tridesetri.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\Temp\tridesetri.exe','');
QuarantineFile('C:\Temp\tridesejean.exe','');
QuarantineFile('C:\Temp\tridesee.exe','');
QuarantineFile('C:\Temp\tridesedva.exe','');
QuarantineFile('C:\Temp\dvadessest.exe','');
QuarantineFile('C:\Temp\dvadessedan.exe','');
QuarantineFile('C:\Temp\dvadesosan.exe','');
QuarantineFile('C:\Temp\dvadeset.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vhrbcebr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\mjtrgsnr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\mfteqrfb.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\kljeulcg.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\grgjuuvm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\fdjmljyd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dprxzcmo.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\dprxzcmo.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fdjmljyd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\grgjuuvm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kljeulcg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mfteqrfb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mjtrgsnr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vhrbcebr.sys');
DeleteFile('C:\Temp\dvadeset.exe');
DeleteFile('C:\Temp\dvadesosan.exe');
DeleteFile('C:\Temp\dvadessedan.exe');
DeleteFile('C:\Temp\dvadessest.exe');
DeleteFile('C:\Temp\tridesedva.exe');
DeleteFile('C:\Temp\tridesee.exe');
DeleteFile('C:\Temp\tridesejean.exe');
DeleteFile('C:\Temp\tridesetri.exe');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
DeleteFile('C:\WINDOWS\system32\KB905474\wgasetup.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89941).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Пофиксил.
Выполнил скрипт.
почему-то я решил что надо запускать скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info в безопасном режиме и попросил это сделать владельцев компа.
Потом запустил Скрипт сбора информации для раздела "Помогите!" virusinfo.info.
Потом Do a system scan and save a logfile в HiJackThis.
Потом я прочитал что первый скрипт стандартный не надо было делать в безопасном, и ещё раз выполнил его уже в обычном режиме, со всеми закрытыми прогами кроме Hamachi, Radmin Server, и прогой для Интернета.
Потом опять скрипт сбора информации и hijackthis.
Обновил логи в первом посте.
Папка карантина была на момент последней перезагрузки пуста... не знаю куда делить файлы оттуда, если они там вообще были.
Может надо было их выслать до выполнения стандартных скриптов программы сразу же после выполнения скрипта из предыдщуего ответа...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\Documents and Settings\Марта.6C9A9ACE47AC420\dkwbvbm.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lpxcuabo.sys','');
DeleteService('lpxcuabo');
QuarantineFile('C:\WINDOWS\System32\Drivers\isyegdki.sys','');
DeleteService('isyegdki');
QuarantineFile('C:\WINDOWS\System32\Drivers\fqnhijzl.sys','');
DeleteService('fqnhijzl');
QuarantineFile('C:\WINDOWS\System32\Drivers\cqzzxkqd.sys','');
DeleteService('cqzzxkqd');
SetServiceStart('yegdyzhl', 4);
DeleteService('yegdyzhl');
QuarantineFile('C:\WINDOWS\system32\Drivers\yegdyzhl.sys','');
TerminateProcessByName('c:\temp\kml.exe');
QuarantineFile('c:\temp\kml.exe','');
TerminateProcessByName('c:\windows\kgezyb.exe');
QuarantineFile('c:\windows\kgezyb.exe','');
DeleteFile('c:\windows\kgezyb.exe');
DeleteFile('c:\temp\kml.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\yegdyzhl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\cqzzxkqd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fqnhijzl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\isyegdki.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lpxcuabo.sys');
DeleteFile('C:\Documents and Settings\Марта.6C9A9ACE47AC420\dkwbvbm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IJKUK66HMN');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('yegdyzhl');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи и прикрепите к следующему сообщению
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Запустил скрипт в AVZ, комп перезагрузился.
Зашёл в AVZ в "Файл" -> "Просмотр карантина". ВЫделил все файлы в правой колонке и выбрал Заархивировать.
файл virus.zip не имел пароля на открытие как написано по ссылке Прислать запрошенный карантин. Так что я его разархивировал, и запаковал опять с паролем.
Карантин прислал.
Сейчас буду делать логи.
-
Junior Member
- Вес репутации
- 57
-
Junior Member
- Вес репутации
- 57
Меня пугает наличие восклицательного знака в названии темы, и то что уже было 2 просмотра логов и пока что не поступило ни одного ответа.....
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится 86z20bcu.exe(GMER) и запустите этот батник(1.bat):
Код:
86z20bcu.exe -del service clazktbd
86z20bcu.exe -del file "C:\WINDOWS\system32\skvfzukd.dll"
86z20bcu.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\clazktbd"
86z20bcu.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\clazktbd"
86z20bcu.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 57
Может антивирус постарался......
Последний раз редактировалось Bratez; 18.10.2010 в 06:20.
-
Выполните скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
BC_DeleteSvc('bhrwpvme');
BC_DeleteSvc('sdonthmp');
BC_DeleteSvc('xszyzpso');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите лог virusinfo_syscheck.
Что с проблемами?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
ЛОГ прикрепил.
Видимых проблем не заметно.
Хотя они и раньше были не особо выражены....
Сообщения антивируса, какие-то ошибки при загрузке Винды, отсутствие определённых вкладок в Системе (панель управления) - сейчас этого всего не наблюдается.
Спасибо.
EDIT:
Установил MSE вместо Zillya.
Он нашёл ещё несколько вирусов:
Win32/Renos.LX
Елементи:
file:C:\WINDOWS\Kgezya.exe
INFO/Autorun.gen
Елементи:
file:C:\WINDOWS\System32\autorun.i
Последний раз редактировалось SergSlim; 18.10.2010 в 23:09.
-
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('zgbclanl');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Больше ничего плохого.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\марта.6c9a9ace47ac420\\dkwbvbm.exe - Trojan.Win32.Inject.awln ( DrWEB: Trojan.Virtumod.18, BitDefender: Gen:Variant.Kazy.7882, AVAST4: Win32:Malware-gen )
- c:\\temp\\kml.exe - Trojan.Win32.FraudPack.cfyl ( DrWEB: Trojan.DownLoader1.31290, BitDefender: Gen:Variant.Kazy.1759, NOD32: Win32/TrojanDownloader.FakeAlert.AUU trojan, AVAST4: Win32:MalOb-BX [Cryp] )
- c:\\windows\\kgezyb.exe - Trojan.Win32.FraudPack.cgeh ( DrWEB: Trojan.DownLoader1.22695, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-BX [Cryp] )
- c:\\windows\\system32\\drivers\\yegdyzhl.sys - Rootkit.Win32.Pakes.zo ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\sshnas21.dll - Trojan.Win32.FraudPack.cgek ( DrWEB: BackDoor.Click.1058, BitDefender: Trojan.Generic.KDV.50510, AVAST4: Win32:MalOb-BX [Cryp] )
-