шлёт спам на 25 порт
Printable View
шлёт спам на 25 порт
Восст системы нужно отключить.
Скачать [url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
Запустить. В окне найти Ydgk27.sys, C:\WINDOWS\SYSTEM32\WLCtrl32.dll - нажать force delete, подвердить удаление.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msfun80.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\rkhdrv10.SYS','');
QuarantineFile('Ydgk27.sys','');
QuarantineFile('7B0511C77B0.exe','');
TerminateProcessByName('7B0511C77B0.exe');
DeleteFile('Ydgk27.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe');
DelWinlogonNotifyByFileName('LogCrypt.dll');
BC_DeleteSvc('FCI');
BC_ImportDeletedAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин. Сделать новые логи.
Если вдруг система не будет грузиться, загрузить последнюю успешную конфигурацию и сделать новые логи, т.к. зловред меняет имя.
Ydgk27.sys этого не нашёл карантин тоже пуст вот новые логи
Да булкнет у вас порезвился:)Чем его кормили если не секрет?
В IceSword найти:Ahn85.sys,WLCtrl32.dll,Mta52.sys,правая кнопка мыши Force Delete.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn5b.tmp');
TerminateProcessByName('c:\windows\temp\bn59.tmp');
TerminateProcessByName('c:\windows\temp\149781.exe');
QuarantineFile('linkdel.cmd','');
QuarantineFile('msime82.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Mta52.sys','');
QuarantineFile('C:\WINDOWS\Ahn85.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn5b.tmp','');
QuarantineFile('c:\windows\temp\bn59.tmp','');
QuarantineFile('c:\windows\temp\149781.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xek63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wdj30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tbh63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tbh17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tag41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Syf52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Syf30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sag41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sag28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd74.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nub67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mta63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mta17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lsy17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kqw52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kqw28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpv52.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\irsir.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hou41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hou30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnt06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gms63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flr85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Elr06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dkq85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djp63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cjp52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cio85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn85.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhn41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cio85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cjp52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Djp63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkq85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flr85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gms63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnt06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hou30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hou41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipv06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipv63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpv52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqw30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqw28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqw52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lsy17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mta17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mta63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nub67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxe06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxe30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxe85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sag28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sag41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syf30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syf52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tag41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbh17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbh63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdj30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xek63.sys');
DeleteFile('c:\windows\temp\149781.exe');
DeleteFile('c:\windows\temp\bn59.tmp');
DeleteFile('c:\windows\temp\bn5b.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\Ahn85.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Mta52.sys');
DeleteFile('C:\WINDOWS\system32\undname.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('msime82.exe');
DeleteService('Xek63');
DeleteService('Wek52');
DeleteService('Wek41');
DeleteService('Wdj30');
DeleteService('Vdj06');
DeleteService('Uci85');
DeleteService('Uci74');
DeleteService('Uci52');
DeleteService('Uci06');
DeleteService('Tbh63');
DeleteService('Tbh17');
DeleteService('Tag41');
DeleteService('Syf52');
DeleteService('Syf30');
DeleteService('Sag41');
DeleteService('Sag28');
DeleteService('Ryf41');
DeleteService('Qxe85');
DeleteService('Qxe30');
DeleteService('Qxe06');
DeleteService('Qwd74');
DeleteService('protect');
DeleteService('Ovc30');
DeleteService('Ovc28');
DeleteService('Ovc06');
DeleteService('Nub67');
DeleteService('Mta63');
DeleteService('Mta17');
DeleteService('Lsy17');
DeleteService('Krx30');
DeleteService('Krx06');
DeleteService('Kqw52');
DeleteService('Kqw28');
DeleteService('Jqw30');
DeleteService('Jpv52');
DeleteService('Ipv63');
DeleteService('Ipv06');
DeleteService('Hou41');
DeleteService('Hou30');
DeleteService('Hnt06');
DeleteService('Flr85');
DeleteService('Elr06');
DeleteService('Dkq85');
DeleteService('Djp63');
DeleteService('Cjp52');
DeleteService('Cio85');
DeleteService('Bio74');
DeleteService('Bio41');
DeleteService('Bio17');
DeleteService('Bhn41');
DeleteService('Ahn30');
DeleteService('Ahn28');
DeleteService('Ahn17');
DeleteService('Mta52');
DeleteService('Ahn85');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=20891[/url]
Повторите логи.
повторяю логи
[B]Отключите восстановление системы![/B]Уже намного лучше;)
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('linkdel.cmd','');
DeleteService('Mta52');
DeleteService('Ahn85');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mta52.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('Mta52.sys ');
DeleteFile('Ahn85.sys ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Mta52 ');
BC_DeleteSvc('Ahn85 ');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=20891[/url]
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите все логи,как положено,их должно быть 3.
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\ [/CODE]