Всем доброго дня!
пытался своими силами вылечить, но видимо слабоват, да и как практика показала, лихо удалять всё подозрительное ведет к ооочень плохим последствиям.
посему прикрепляю логи и очень надеюсь на вашу помощь.
Printable View
Всем доброго дня!
пытался своими силами вылечить, но видимо слабоват, да и как практика показала, лихо удалять всё подозрительное ведет к ооочень плохим последствиям.
посему прикрепляю логи и очень надеюсь на вашу помощь.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('c:\windows\system32\msyo.exe','');
QuarantineFile('C:\WINDOWS\System32\mswapi.dll','');
QuarantineFile('c:\windows\system32\mszm32.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\wmldap.dll','');
QuarantineFile('C:\WINDOWS\System32\server.exe','');
QuarantineFile('C:\WINDOWS\System32\sdchost.exe','');
QuarantineFile('C:\WINDOWS\System32\nuyzrvlpna.EXE','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\hg543fdg.dll','');
QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winsto.exe','');
QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogan.exe','');
QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\lsass.exe','');
QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\lsass.exe');
DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogan.exe');
DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winsto.exe');
DeleteFile('C:\WINDOWS\System32\hg543fdg.dll');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\nuyzrvlpna.EXE');
DeleteFile('C:\WINDOWS\System32\sdchost.exe');
DeleteFile('C:\WINDOWS\System32\server.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('c:\windows\system32\mszm32.dll');
DeleteFile('C:\WINDOWS\System32\mswapi.dll');
DeleteFile('c:\windows\system32\msyo.exe');
DeleteFile('C:\WINDOWS\System32\rpcc.dll');
DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
DelBHO('{B2AC49A2-94F3-42BD-F434-2604812C897D}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21017[/url]).
Обновите базы AVZ.
Сделайте новые логи.
[QUOTE=gorex;210838]как практика показала, лихо удалять всё подозрительное ведет к ооочень плохим последствиям. [/QUOTE]
да куда уж хуже. Похоже у Вас зверье все виндосовские файлы с ПК выжило. А все поэтому:
[QUOTE]Platform: Windows XP [B]SP1[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 [B]SP1[/B] (6.00.2800.1106)[/QUOTE]
[B]Bratez[/B], скрипт сделан!
единственное, проблема была с созданием логов, пришлось все делать в безопасном режиме ибо в обынчом все в перезагруз уходило
почемуто не все лог-файлы создались и появился какой-то странный файл карантина, все отослал
[B]Rene-gad[/B], согласен, сейчас хожу смотрю у кого еще остались SP1-ые
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
почемуто не прикрепились логи
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
попытка номер 2
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
не прикрепляются логи :O
Попробуйте сначала через Мой кабинет - Управление вложениями удалить старые логи.
почистил, прикрепляю
о, получилось
а файлы карантина пришли?
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] nuyzrvlpna.EXE
O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] nuyzrvlpna.EXE
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://d: oo.mht!http://www.deraser.infobox.ru/x.chm::/money.exe
O20 - Winlogon Notify: reset6 - C:\WINDOWS\SYSTEM32\AUHook.dll
O21 - SSODL: mszm32.dll - {41611809-593E-1A07-10E5-86799F37ED87} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\AUHook.dll');
DeleteFile('C:\WINDOWS\system32\mdmi386.exe');
DeleteFile('C:\WINDOWS\System32\wmldap.dll');
DeleteFile('C:\WINDOWS\system32\itstore.dll');
DeleteFile('C:\WINDOWS\System32\magent.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
[COLOR="Blue"]Ввиду вновь открывшихся обстоятельств ;) скрипт был дополнен ([b]kps[/b], спасибо за информацию). Так что если уже выполняли его - выполните повторно. И ждем логи.[/COLOR]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Email-Worm.Win32.Bagle.pp[/B] (DrWEB: BackDoor.Salidol)[*] c:\\windows\\system32\\auhook.dll - [B]Email-Worm.Win32.Bagle.pn[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\windows\\system32\\itstore.dll - [B]Trojan-PSW.Win32.Vipgsm.ap[/B] (DrWEB: Trojan.PWS.Vipgsm)[*] c:\\windows\\system32\\magent.exe - [B]Email-Worm.Win32.Bagle.pp[/B] (DrWEB: Trojan.Spambot.2488)[*] c:\\windows\\system32\\mdmi386.exe - [B]Email-Worm.Win32.Bagle.pm[/B] (DrWEB: Win32.HLLM.Reset)[*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.sj[/B] (DrWEB: Trojan.DownLoader.56722)[*] c:\\windows\\system32\\rpcc.dll - [B]Trojan-Proxy.Win32.Dlena.cq[/B] (DrWEB: Win32.HLLM.Bid)[*] c:\\windows\\system32\\server.exe - [B]Backdoor.Win32.Bifrose.uw[/B] (DrWEB: BackDoor.Bifrost)[*] c:\\windows\\system32\\wmldap.dll - [B]Trojan-PSW.Win32.Agent.uv[/B] (DrWEB: Trojan.PWS.Multi)[/LIST][/LIST]