Стоял 3-й NOD. Удалил, поставил McAfee VS Ent 8.5 - ничего не нашел. Запустил AVZ - получил ребут. Удалил McAfee, сделал проверку.
Явно что-то еще осталось.
Логи прикрепил. Прошу помочь.
Спасибо.
Printable View
Стоял 3-й NOD. Удалил, поставил McAfee VS Ent 8.5 - ничего не нашел. Запустил AVZ - получил ребут. Удалил McAfee, сделал проверку.
Явно что-то еще осталось.
Логи прикрепил. Прошу помочь.
Спасибо.
McAfee - осталась
Богато! ;)
Пока вот так, дальше посмотрим -
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Bhn16');
SetServiceStart('Bhn16', 4);
QuarantineFile('C:\WINDOWS\system32:svchosm.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
QuarantineFile('C:\WINDOWS\system32\mms32pnqpn.dll','');
QuarantineFile('C:\WINDOWS\system32:svchosm.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn16.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe','');
DeleteFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Bhn16.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\system32:svchosm.exe');
DeleteFile('C:\WINDOWS\system32\mms32pnqpn.dll');
DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32:svchosm.exe:$DATA');
BC_ImportDeletedList;
BC_DeleteSvc('Bhn16');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18937[/url]).
Сделайте новые логи.
ОК, я поищу утилиту для полного удаления, хотя странно вообще:(
Это единственная проблема, которая видна в логах?
[quote=Ven;195360]Это единственная проблема, которая видна в логах?[/quote]
Если бы! :D
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O21 - SSODL: msaa32.dll - {687D7EB1-5A8E-3740-01C8-19F50001492F} - (no file)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\mms32pnqpn.dll[/CODE]
Два врача - это как-то непривычно:) Подчиняюсь сразу двум:)
Скрипт выполнил.
Хиджаком поправил.
Логи прикрепил.
Карантит прикрепил.
Все на месте. У вас скрипт выполнился или нет?
Да...комп ушел в ребут. Может логи не заменяются и надо удалять старые?
А собщения об успешном выполнении значит не было?
Давайте так, чтобы долго не мучиться:
1. Скачайте эту программу [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
2. File - Force Delete вот этим двум файлам:
C:\WINDOWS\System32\Drivers\Bhn16.sys
C:\WINDOWS\System32\Drivers\Amw66.sys
3. Перезагрузитесь и выполните скрипт из поста #2.
4. Сделайте новые логи.
Выполнил еще раз скрипт...комп сам перезагружается, сл-но я не знаю выполнен скрипт или комп уходит в ребут по причине магнитных бурь в моей голове:)
После ребута переименовал папку ЛОГ, сделал новый лог...папка ЛОГ создалась сама, конечно же.
Да, сообщения об успешном выполнении скрипта я не видел.
Файлики убил. Иду на ребут.
Теперь ребут по окончанию выполнения скрипта был корректным - с завершением работы. Вот новые логи.
Еще вот такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ubg51');
SetServiceStart('Ubg51', 4);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\qtprot.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg51.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ubg51.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Ubg51');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите весь.
И еще раз лог syscheck.
Вот лог.
Карантин прислал.
Упрямые они у вас!
Удалите IceSword'ом (force delete) эти:
C:\WINDOWS\System32\Drivers\Ubg51.sys
C:\WINDOWS\system32\WLCtrl32.dll
а затем выполните скрипт:
[code]
begin
BC_DeleteSvc('qtprot');
BC_DeleteSvc('hdport');
BC_DeleteSvc('Amw66');
BC_DeleteSvc('Ubg51');
BC_DeleteFile('C:\WINDOWS\system32\hdport.sys');
BC_DeleteFile('C:\WINDOWS\system32\qtprot.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте логи syscheck и HijackThis.
[b]Backdoor.Win32.Delf.dfs[/b] C:\WINDOWS\system32\qtprot.sys
[b]Trojan-Downloader.Win32.Agent.jjt[/b] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
[b]Trojan-Downloader.Win32.Diehard.dr[/b] C:\WINDOWS\system32\drivers\ip6fw.sys
[b]Trojan-Dropper.Win32.Small.bfr[/b] C:\WINDOWS\Temp\winlogon.exe
mssrv32.exe и wctrl32.dll - свежие
Логи.