Всем привет! Лечу зараженный комп. Был удачно подхвачен Spyware remover ;), по ходу там много чего. Cure IT даже не установить... штатный антивирь успешно нейтрализован, в общем весь букет. Файлы прилагаю. Заранее спасибо!
Printable View
Всем привет! Лечу зараженный комп. Был удачно подхвачен Spyware remover ;), по ходу там много чего. Cure IT даже не установить... штатный антивирь успешно нейтрализован, в общем весь букет. Файлы прилагаю. Заранее спасибо!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]C:\WINDOWS\system32\Drivers\Emt64.sys C:\WINDOWS\system32\Drivers\Emt43.sys C:\WINDOWS\new_drv.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
QuarantineFile('C:\WINDOWS\system32\382077\382077.dll','');
QuarantineFile('C:\Program Files\tmp3.exe','');
QuarantineFile('C:\Program Files\tmp2.exe','');
QuarantineFile('C:\Program Files\tmp1.exe','');
QuarantineFile('C:\Program Files\tmp0.exe','');
QuarantineFile('C:\Documents and Settings\Gildi\win.exe','');
DelBHO('{0826898D-C6EA-40BB-B636-9C82B5565312}');
DelBHO('{3A1E4EE5-BC64-4E79-9687-29924D109606}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}');
DelBHO('{037E0831-A9B3-4AF9-99A7-F6A9E1E6A6D4}');
QuarantineFile('C:\WINDOWS\system32\lshuxenq.exe','');
QuarantineFile('C:\WINDOWS\9129837.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Gildi\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\dctehkfs\zctgjsfo.exe','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('new_drv');
BC_DeleteSvc('Emt64');
BC_DeleteSvc('Emt43');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\new_drv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Emt64.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Emt43.sys','');
QuarantineFile('C:\WINDOWS\wetkadmr.dll','');
QuarantineFile('C:\WINDOWS\tdomgafw.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\vtUonlIX.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnnNDWq.dll','');
QuarantineFile('c:\documents and settings\all users\application data\dctehkfs\zctgjsfo.exe','');
QuarantineFile('c:\windows\system32\lshuxenq.exe','');
QuarantineFile('c:\windows\9129837.exe','');
DeleteFile('c:\windows\9129837.exe');
DeleteFile('c:\windows\system32\lshuxenq.exe');
DeleteFile('c:\documents and settings\all users\application data\dctehkfs\zctgjsfo.exe');
DeleteFile('C:\WINDOWS\system32\pmnnNDWq.dll');
DeleteFile('C:\WINDOWS\system32\vtUonlIX.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\tdomgafw.dll');
DeleteFile('C:\WINDOWS\wetkadmr.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Emt43.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Emt64.sys');
DeleteFile('C:\WINDOWS\new_drv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Documents and Settings\Gildi\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\9129837.exe');
DeleteFile('C:\WINDOWS\system32\lshuxenq.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinNt32.dll');
DeleteFile('pmnnNDWq.dll');
DeleteFile('C:\WINDOWS\qvlbodmnwra.dll');
DeleteFile('C:\WINDOWS\system32\382077\382077.dll');
DeleteFile('C:\WINDOWS\mkrndofl.dll');
DeleteFile('C:\Documents and Settings\Gildi\win.exe');
DeleteFile('C:\Program Files\tmp0.exe');
DeleteFile('C:\Program Files\tmp1.exe');
DeleteFile('C:\Program Files\tmp2.exe');
DeleteFile('C:\Program Files\tmp3.exe');
DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
BC_ImportDeletedist;
ExecuteRepair(1);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ..
повторите логи ...
скрипт выполнил... теперь проблемы с запуском программ... просит выбрать с помощью какой программы открыть файл.... выбираю саму себя, тогда запускается. До этого было сообщение об отсутствующей rundll32.dll . A spyremover ещё сидит и рвется в нет :( В \WINDOWS\ куча подозрительных ехе-шников, может убить их загрузившись с СД или не поможет?
переименуйте авз в 123.pif он запустится ...
файл - восстановление системы - пункт 1 ... далее рекомендации из поста 2 ...
блин невнимательно читал :((( не выполнил первое: скчать... и т.д. а теперь поздно?
я сразу скрипт запустил...
[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]
авз щас крутится, и другие можно запуститиь но геморно, надо ремонтировать
ничего не поздно .... делайте как я вам написал выше ...
карантин выслал, там 2 вчера начал, но прервал, продолжение сегодня, там кажется 2 файла остались win.exe i vbs... которые шалят, могу убить их руками :)
пофиксите ...
[code]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B2A7ECF4-F40D-4856-AFFB-3D8E723738AF} - :\WINDOWS\system32\vtUonlIX.dll (file missing)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\pmnnNDWq.dll (file missing)
O20 - Winlogon Notify: pmnnNDWq - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
[/code]
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}');
DelBHO('{B2A7ECF4-F40D-4856-AFFB-3D8E723738AF}');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteFile('C:\WINDOWS\system32\vtUonlIX.dll');
DeleteFile('C:\Documents and Settings\Gildi\win.exe');
DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
BC_Importall;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
после второго прохода вроде всё пришло в норму... логи прилагаю.
прога SmileIT была удалена. В автозагрузке был запуск как службы googleupdate.exe. Единственно беспокоит что после перезагрузки, при отсутсвии программ, которым необходимо сетевое подключение идут попытки установить соединение.
хочу выложить файлы для проверки, скорее всего это мусор от вирья, хотя их можно и запустить... всё лежит в %windows% и дата создания 04.05.08 вероятно тогда и хапнули гадость. Загружу как карантин.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
последнее: после всего этого иконки на рабочем столе стали непрозрачными, выделены фоном, можно только изменить цвет подложки, и никак не поправить. Может в реестре надо поправить чтобы иконки снова стали прозрачными?
382077.dll - not-a-virus:AdWare.Win32.E404.ag, pmnnNDWq.dll - not-a-virus:AdWare.Win32.Virtumonde.qta,
vtUonlIX.dll - not-a-virus:AdWare.Win32.Virtumonde.quk
9129837.exed - Trojan-PSW.Win32.Papras.di, cftmon.exed, spools.exed - Trojan-Downloader.Win32.Peregar.ad,
lshuxenq.exed, zctgjsfo.exed - Trojan.Win32.Obfuscated.gx, mkrndofl.dll - Trojan.Win32.Vapsup.evb, new_drv.sys - Rootkit.Win32.Agent.sz, qvlbodmnwra.dll - Trojan.Win32.Vapsup.euw, tdomgafw.dll - Trojan.Win32.Vapsup.euz, tmp0.exed - Trojan-Downloader.Win32.Small.ivo,
wetkadmr.dll - Trojan.Win32.Vapsup.euv, win.exed - Trojan-Downloader.Win32.Mutant.ek,
WinNt32.dll - Trojan-Downloader.Win32.Agent.nsl,
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.oo
пофиксите ...
[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file
[/code]
выполните скрипт ...
[code]
begin
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
[/code]
насчет прозрачности ...
Мой компьютер ->Свойства ->Дополнительно -> Параметры быстродействия -> вкладка Визуальные эфекты -> параметр Отбрасывание теней значками на рабочем столе ...
Спасибо сделаю. А как насчет второго карантина ? В принципе, кажется в нете есть информация о файлах, и их можно самому проверить. Моет ссылки какие дадите? Я бы сам, хотя на 99% уверен что это зловредные файлы. Или прогнать систему антивирусом?
a.bat_, bdn.com_, iTunesMusic.exe_, mssecu.exe_, rs.txt, userconfig9x.dll, VM303UninstNT.exe_, VMInstNT.exe_, WIC.log, 2_mslagent.dll, mslagent.exe, uninstall.exe
Вредоносный код в файлах не обнаружен.
knxsrgte.exe_ - Trojan.Win32.Vapsup.euy, svorbmke.exe_ - Trojan.Win32.Vapsup.eux
ОК, спасибо...
спасибо за помощь, не умею благодарность дать...
напоследок логи... на всякий случай :)))
в логах чисто ...