Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Как лечить? Я вижу зловредов, но как убить? (заявка № 9301)

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62

    Thumbs up Как лечить? Я вижу зловредов, но как убить?

    Здравствуйте!

    Обращаюсь за помощью, поскольку сам не знаю, что делать дальше.
    Логи в аттаче, будьте добры, посмотрите, пожалуйста.
    Заранее благодарен.

    С уважением.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cpl_moh.cpl','');
     QuarantineFile('C:\WINDOWS\system32\AdvUninstCPL.cpl','');
     QuarantineFile('C:\WINDOWS\system32\CD_Load.exe','');
     QuarantineFile('C:\WINDOWS\system32\COMPT.sys','');
     QuarantineFile('C:\WINDOWS\system32\wintuh32.dll','');
     QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
     QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\cd_clint.dll','');
     QuarantineFile('C:\WINDOWS\system32\mlljj.dll','');
     QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
     QuarantineFile('c:\program files\kaspersky lab\kaspersky anti-virus 6.0\updater2005.ppl','');
     QuarantineFile('C:\Documents and Settings\Andy.HOME-QKICGUK841\Local Settings\Temporary Internet Files\Content.IE5\4KD090HS\openpass[1].zip/{ZIP}/OPENPASS.EXE','');
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9301.......
    Последний раз редактировалось drongo; 26.04.2007 в 13:09.

  4. #3
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Спасибо за ответ.
    К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
    Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от AndyR0 Посмотреть сообщение
    Спасибо за ответ.
    К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
    Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?
    вы проницательны

    Сначала врач должен посмотреть результаты анализов, а потом уже давать рекомендации к лечению организма , а также всем остальным путём выпуска нового лекарства

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Drongo Думаю, последнюю фразу надо вставить в шаблон письма.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Цитата Сообщение от drongo Посмотреть сообщение
    вы проницательны

    Сначала врач должен посмотреть результаты анализов, а потом уже давать рекомендации к лечению организма , а также всем остальным путём выпуска нового лекарства
    Да, действительно, Вы правы, что-то я сглупил.

    Если позволите, я дополню картину теперешней ситуации: при загрузке в безопасном режиме, экран становится чёрным с надписями по углам "безопасный режим", но есть возможность по Ctrl+Alt+Del вызывать диспетчер задач, и соответственно, командную строку. Попытки восстановить (потому как оказалась уничтоженной) ветку реестра CurrentControlSet с помощью AVZ (восстановление системы) или импортом скореектированной CurrentControlSet001, не привели к "оживлению" экрана в безопасном режиме. Это я пишу на случай того, что если придётся выполнять какие-то действия в безопасном режиме, достаточно ли будет командной строки?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Если в нормальном не грузиться,
    можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
    логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим.

  9. #8
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Цитата Сообщение от drongo Посмотреть сообщение
    Если в нормальном не грузиться,
    можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
    логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим.
    Логи я делал в обычном(нормальном) режиме, в безопасном я пытался запустить поиск/лечение КАВ-ом и пробовал прибить зловредные dll-ки.

  10. #9
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Добрый вечер!

    Карантин по ссылке загрузил, с нетерпением буду ждать результатов обследования.

    С уважением.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Из того, что прислали: C:\WINDOWS\system32\CD_Load.exe - a variant of Win32/Adware.Cydoor (по Nod32)
    C:\WINDOWS\system32\mlljj.dll - Trojan.Virtumod (по DrWeb)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
    QuarantineFile('C:\WINDOWS\system32\COMPT.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-117609710-583907252-725345543-1003\Dc153.dll');
     DeleteFile('C:\WINDOWS\system32\CD_Load.exe');
     DeleteFile('C:\WINDOWS\system32\mlljj.dll');
     DeleteFile('byxvtts.dll');
     DeleteFile('wintuh32.dll');
     DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
    ExecuteSysClean;
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ и сделайте, пожалуйста, новые логи.

  12. #11
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Всё понял, действую.

  13. #12
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Закачал карантин, сделанный сразу после выполнения Вашего скрипта - файл "virus_1". Затем закачал карантин, сделанный после стандартного скрипта "лечения/карантина и сбора..."- это файл "virus".
    Логи прикладываю.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Странно, живучие однако.Или вы те же логи загрузили ?
    в общем отключиться от инета , отключить антивирус , выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      ClearQuarantine();
     QuarantineFile('c:\windows\system32\tlntsvr.exe','');
     QuarantineFile('C:\WINDOWS\system32\habuwoow.dll','');
     BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll');
     BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
    BC_Importall;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    после перегрузки включить антивирус и сделать новые логи.
    Пришлите , то что попадёт на сей раз в карантин .

  15. #14
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Цитата Сообщение от drongo Посмотреть сообщение
    Странно, живучие однако.Или вы те же логи загрузили ?
    в общем отключиться от инета , отключить антивирус , выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\tlntsvr.exe','');
     QuarantineFile('C:\WINDOWS\system32\habuwoow.dll','');
     QuarantineFile('C:\WINDOWS\system32\mlljj.dll','');
     BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll');
     BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
    BC_Importall;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    после перегрузки включить антивирус и сделать новые логи.
    Нет-нет, всё сделал заново.
    Понял, приступаю. Но результаты выложу, наверное, увы, только завтра, т.е. сегодня утром.

    P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.
    Форум работает круглосуточно Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.

  17. #16
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    Форум работает круглосуточно Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.
    Приветствую, MaXim!
    Именно различие во времени я и имел ввиду, зная, который сейчас час там, откуда drongo...
    Я выполнил скрипты, прилагаю логи и выкладываю карантин.
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В программе Hijackthis пофиксите строчки:
    Код:
    O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing)
    O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing)
    O20 - Winlogon Notify: byxvtts - C:\WINDOWS\
    O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing)
    O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\
    Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\habuwoow.dll');
     QuarantineFile('C:\Program Files\UltraISO\isoshell.dll','');
    ExecuteSysClean;
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 правил
    Последний раз редактировалось Numb; 27.04.2007 в 01:01. Причина: Исправлен скрипт AVZ

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    C:\WINDOWS\system32\habuwoow.dll - Trojan.Virtumod(по DrWeb). Практически все, что сегодня насобирали, DrWeb детектит, так что, думаю, хорошо бы, в дополнение, скачать CureIt! и проверить систему, загрузившись в безопасном режиме

  20. #19
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Доброе утро!


    Цитата Сообщение от Numb Посмотреть сообщение
    В программе Hijackthis пофиксите строчки:
    Код:
    O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing)
    O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing)
    O20 - Winlogon Notify: byxvtts - C:\WINDOWS\
    O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing)
    O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\
    Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\habuwoow.dll');
     QuarantineFile('C:\Program Files\UltraISO\isoshell.dll','');
    ExecuteSysClean;
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 правил
    Обязательно сделаю, но теперь только вечером.
    Спасибо.

    С уважением.

  21. #20
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    13
    Вес репутации
    62
    Добрый вечер!

    Выкладываю логи и карантин. В последнем что-то не то с датой и временем создания одного из файлов, но почему так получилось- затрудняюсь сказать. Не знаю, драматично ли неправильно я поступил, запустив в промежутках между созданием логов КАВа, но он при этом обнаружил 3 новых .длл, идентифицировав их как Virtumonde.
    Жду дальнейших указаний.
    Вложения Вложения

  • Уважаемый(ая) AndyR0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не вижу папку temp из explorer , а из ТС вижу
      От nubsaybot в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.11.2009, 15:57
    2. не вижу explorer.exe]
      От rdog в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.04.2009, 03:08
    3. руткит вижу, убить не могу!
      От antivor в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.06.2008, 10:24
    4. Не вижу скрытые файлы...
      От Znoi в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.03.2008, 13:12
    5. Не вижу CDRW
      От orvman в разделе Аппаратное обеспечение
      Ответов: 9
      Последнее сообщение: 12.11.2005, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00729 seconds with 20 queries