Третий НОД его ругает, но убить не может. И еще целая куча всего поназалетала, думаю, не без его помощи!!
гонял вебом, нодом, AVZ и Trojan Remover 6.6.8, без толку...
Прилагаю логи.
Printable View
Третий НОД его ругает, но убить не может. И еще целая куча всего поназалетала, думаю, не без его помощи!!
гонял вебом, нодом, AVZ и Trojan Remover 6.6.8, без толку...
Прилагаю логи.
Нда... Богато ;) Аж в глазах рябит!
Для начала выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\msgk449.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
QuarantineFile('c:\windows\system32\n21ewma1xx1sv2234.exe','');
QuarantineFile('c:\windows\system32\wind32.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\msgk387.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\37E8ABML\install_sbd_en[1].exe','');
QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\Program Files\Common Files\System\wmpisvrs32.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\n21ewma1xx1sv2234.exe','');
QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
QuarantineFile('C:\Program Files\NoDNS\NoDNS.exe','');
QuarantineFile('C:\Program Files\JavaCore\JavaCore.exe','');
DeleteFile('C:\Program Files\JavaCore\JavaCore.exe');
DeleteFile('C:\Program Files\NoDNS\NoDNS.exe');
DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\n21ewma1xx1sv2234.exe');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\37E8ABML\install_sbd_en[1].exe');
DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\msgk387.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\wind32.exe');
DeleteFile('c:\windows\system32\n21ewma1xx1sv2234.exe');
DeleteFile('c:\windows\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\msgk449.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
BC_ImportALL;
BC_DeleteSvc('catchme');
BC_DeleteSvc('FCI');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('CbEvtSvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=19858[/url]).
Сделайте новые логи, будем смотреть дальше.
карантин приислал, логи прилагаю.
большинство полечилось, но в процессах что-то не то болтается.
1. Очистите карантин ДрВеба:
C:\Documents and Settings\Администратор\DoctorWeb\Quarantine
2. Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [WinMed] winmed.exe
O4 - HKCU\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe
O4 - HKCU\..\Run: [NoDNS] C:\Program Files\\NoDNS\\NoDNS.exe
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Scyb41');
SetServiceStart('Scyb41', 4);
DeleteFile('C:\WINDOWS\System32\Drivers\Scyb41.sys');
DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Ygl84');
BC_DeleteSvc('Scyb41');
BC_DeleteSvc('oqtxde');
BC_DeleteSvc('wmpisvrs32k');
BC_DeleteSvc('WmiApSrvRasAuto');
BC_DeleteSvc('ThemesProtectedStorage');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('SCardSvrstisvc');
BC_DeleteSvc('Google Online Search Service');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
4. Сделайте новые логи, начиная с п.10 правил.
Процессы похоже нормализовались. комп не тормозит, криминала не видно, по крайней мере мне!
Прилагаю логи на всякий случай!
Поищите при помощи АВЗ сервис--поиск файлов на диске [b]wmpisvrs32.dll[/b], [b]riode32.sys[/b] и пришлите их согласно приложения 2 правил.
При добавлении в карантин второго файла руганулсо NOD32...
так что видно еще что-то есть!
Ладно, карантин с 2 файлами выслал, жду вердикт!
riode32.sys - [b]Trojan.Win32.Srizbi.j[/b], wmpisvrs32.dll - [b]Trojan.Win32.Pakes.civ[/b]
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('wmpisvrs32', 4);
StopService('wmpisvrs32');
DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
BC_ImportAll;
BC_DeleteSvc('wmpisvrs32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
сделано. логи прилагаю.
Выполните в АВЗ
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AdvancedCleaner Free\ian_monitor.exe','');
QuarantineFile('C:\WINDOWS\system32\khooker.exe','');
DeleteFile('C:\WINDOWS\system32\khooker.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
карантин я прислал, но он пустой, по-моему!
антивирь и автоматическое обновление вроде отключены были на момент выполнения скрипта.
он отругался, после перезагрузки искал АВЗ файло, которое в скрипте фигурировало, ниичего не нашлось...
Тогда дайте новые логи. Да карантин пустой.
нате :) есть что?
ian_monitor.exe поищите через авз - сервис- поиск файлов на диске .... если найдется пришлите по правилам .....
Короче говоря, сделал поиск ian_monitor.*
Нашел в C:\windows\prefetch такую вещь, которую в карантине прислал.
Каталог prefetch вычистил total comanderом с удалением мимо корзины.
P.s. на сегодня я покидаю рабочее место! руководство к действию оставьте, завтра выполню по полной!
Подождём, что скажут по его поводу аналитики.
простите, не хочу никого напрягать, но у меня человек без сети сидит в целях карантина...
Аналитики про нас не забыли?
присланный файл чистый ....
какие-то проблемы остались ?
я проблем не вижу. просто пока не убедился закрыл сеть :)
Все, спасибо всем!!! не сомневался в вас!