Printable View
Доброе время суток.
Подцепил заразу, симптомы: программы установленные на диске С которые должны запускаться вместе с виндой не запускаются и после перезагрузки екзешники программ удаляются, если программу установить на диск D то все работает нормально.
Еще периодически что-то ломится в и-нет, НОД32 иногда находит DLL-ки инфицированные Win32/Adware.Virtumonde и Win32/TrojanDropper.Agent.DGO
Заранее спасибо
перечитайте правила .... какие логи нужно сделать и в каком порядке ...
virusinfo_syscure.zip:
39.6 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений
как его добавить?
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [1cb32184] rundll32.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pqukeemp.dll','');
QuarantineFile('C:\WINDOWS\system32\ldwpybuw.dll','');
QuarantineFile('C:\WINDOWS\system32\ddayw.dll','');
QuarantineFile('C:\WINDOWS\system32\byxvuut.dll','');
DeleteFile('C:\WINDOWS\system32\byxvuut.dll');
DeleteFile('C:\WINDOWS\system32\ddayw.dll');
DeleteFile('C:\WINDOWS\system32\ldwpybuw.dll');
DeleteFile('C:\WINDOWS\system32\pqukeemp.dll');
DelBHO('{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}');
DelBHO('{8974ac69-1eae-4694-8b49-1df32fec53e3}');
DelBHO('{8699DF98-DD57-4E30-81A8-01FF7D26D20E}');
DelBHO('{2B0B59B4-55A3-4737-9FD5-B93C6430BF75}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=20071[/url]).
Обновите базы AVZ и сделайте новые логи.
Старые вложения при необходимости можно удалить через Мой кабинет - Управление вложениями.
новые логи, карантин скоро будет Dial up :)
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - (no file)
O2 - BHO: (no name) - {B5A83A59-8BE9-471F-80B1-EA6EE5F22189} - C:\WINDOWS\system32\byxvuut.dll (file missing)
O2 - BHO: (no name) - {BEEAF204-4120-4BA2-B671-5E606889FB6C} - C:\WINDOWS\system32\ddayw.dll (file missing)
O20 - Winlogon Notify: byxvuut - byxvuut.dll (file missing)
O20 - Winlogon Notify: skakyuip - skakyuip.dll (file missing)
O20 - Winlogon Notify: winexy32 - winexy32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\format.com','');
QuarantineFile('C:\WINDOWS\system32\ddayw.exe','');
DeleteFile('C:\WINDOWS\system32\ddayw.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
карантин отправлен, новые логи
Выполните еще такой скрипт в AVZ:
[code]
begin
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Больше ничего подозрительного в логах нет, только два антивируса - это плохо, должен быть только один. Также рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\byxvuut.dll - [B]Trojan-Downloader.Win32.Small.hqz[/B] (DrWEB: Trojan.Virtumod.631)[*] c:\\windows\\system32\\ddayw.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dno[/B] (DrWEB: Trojan.Virtumod.257)[*] c:\\windows\\system32\\ldwpybuw.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.11)[*] c:\\windows\\system32\\pqukeemp.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.jxa[/B] (DrWEB: Trojan.Virtumod.269)[/LIST][/LIST]