temp2.exe

Printable View

27.03.2008, 11:14
Rednebz

temp2.exe

В сетке 3 компа без доступа в инет. На всех при загрузке вылезает ошибка, связанная с temp2.exe и регулярно отваливается оборудование (не знаю связано последнее с вирусом или нет). Подскажите что делать и как бы так лечить, чтобы уже чистые компы опять не заразились от ещё не вылеченных. Заранее спасибо!
27.03.2008, 11:24
Гриша

Для каждой машины лучше создать отдельную тему,иначе будет путаница,оставьте в этой теме логи только от первой машины,скрипт сейчас напишу.
27.03.2008, 11:48
Rednebz

ещё две темы щас создам, тока с удалением логов от второй и третьей машины небольшая проблемка)

""Rednebz, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.""
- вот так)
27.03.2008, 11:52
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,%windir%\system32\userinit.exe,[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\copy.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\copy.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\copy.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('%windir%\temp\sso\ssoexec.dll','');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\copy.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\copy.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\copy.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=20496[/url]

Повторите логи от первой машины.
27.03.2008, 11:56
Rednebz

к новым темам логи не прицепляются - ругается, что эти же файлы вложены в другой теме, переименовать пробовал - не помогает.
27.03.2008, 12:02
Гриша

Удалите их через "Мой кабинет"=>"Вложения",затем прикрепите как пологается.
27.03.2008, 12:59
Rednebz

Вложений: 3

случайно удалил и для первого компа)
27.03.2008, 13:04
Гриша

Карантин где?компьютеры на время лечения отключить от сети,потомучто все опять вернулось.
27.03.2008, 13:17
Rednebz

ок
08.04.2008, 10:44
Rednebz

Вложений: 3

После вышеописанных действий вместо ошибки temp2.exe начаали вылезать сначала: "windows не удалось найти C:Windows\svchost.exe, попробуйте через поиск", а за ней: " Не удаётся загрузить С:.... svchost.exe, ссылка на который присутствует в реестре. Если файл не существует удалите эту ссылку".

Вот логи
08.04.2008, 10:50
V_Bond

ssoexec.dll - поищите при помощи авз ... если найдется пришлите по праилам ..
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\xcopy.exe');
DeleteFile('C:\copy.exe');
DeleteFile('C:\host.exe');
DeleteFile('C:\WINDOWS\system32\temp1.exe');
DeleteFile('C:\WINDOWS\system32\temp2.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
08.04.2008, 11:03
Rednebz

ssoexec.dll присылать как карантин или как логи?
08.04.2008, 11:10
Гриша

Как карантин
16.04.2008, 10:11
Rednebz

Вложений: 3

Cкрипты выполнил, а ошибки остались - "windows не удалось найти C:Windows\svchost.exe, попробуйте через поиск", а за ней: " Не удаётся загрузить С:.... svchost.exe, ссылка на который присутствует в реестре. Если файл не существует удалите эту ссылку". Что делать?

ssoexec.dll - avz не нашёл. Вот логи.
16.04.2008, 10:18
V_Bond

пофиксите ..
[code]
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O20 - Winlogon Notify: SSOExec - %windir%\temp\sso\ssoexec.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%windir%\temp\sso\ssoexec.dll');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
hijackthis - повторите
16.04.2008, 10:20
Rednebz

После этого ошибок не будет?
18.04.2008, 09:48
Rednebz

Вложений: 3

Ошибки исчезли, вот логи
18.04.2008, 09:53
V_Bond

теперь скачайте свежую версию авз ...
сделайте новый комплект логов .... убедимся что все в порядке ...
18.04.2008, 09:57
Rednebz

ок
22.02.2009, 04:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan-Dropper.Win32.Small.apl[/B] (DrWEB: Trojan.MulDrop.4181)[*] d:\\copy.exe - [B]Worm.Win32.Perlovga.a[/B] (DrWEB: Trojan.Copyself)[*] e:\\copy.exe - [B]Worm.Win32.Perlovga.a[/B] (DrWEB: Trojan.Copyself)[*] f:\\copy.exe - [B]Worm.Win32.Perlovga.a[/B] (DrWEB: Trojan.Copyself)[/LIST][/LIST]