Не знаю что....

Printable View

29.05.2008, 15:05
SteppenWolf

Вложений: 3

Не знаю что....

Доброго времени суток!
Комп постоянно ломится в интернет... что за зараза - не знаю.. но попробовал сделать по правилам. Остается просить помощи...
29.05.2008, 15:24
kps

Пофиксите[CODE]
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKLM\..\Run: [winload] C:\Windows\system\winload.exe
O4 - HKLM\..\Run: [advap32] C:\Windows\system\1011.exe/r
O20 - Winlogon Notify: winnt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll[/CODE]
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Xej74.sys и C:\WINDOWS\system32\sywtdxaz.sys и если есть - сначала скопируйте их куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите их с помощью force delete (нажмите по кажому из них правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system\winload.exe');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
TerminateProcessByName('c:\documents and settings\user\ie_updates3r.exe');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
QuarantineFile('C:\Windows\system\1011.exe/r','');
QuarantineFile('C:\Windows\system\1011.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Xej74.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('c:\windows\system\winload.exe','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
QuarantineFile('c:\documents and settings\user\ie_updates3r.exe','');
DeleteFile('c:\documents and settings\user\ie_updates3r.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\system\winload.exe');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Xej74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Windows\system\1011.exe/r');
DeleteFile('C:\Windows\system\1011.exe');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DelWinlogonNotifyByKeyName('winnt32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Xej74');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('tcpsr');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и два скопированных Вами файла в архиве с паролем virus (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=23665[/url] ).

Сделайте новые логи.
29.05.2008, 16:44
SteppenWolf

C:\WINDOWS\system32\sywtdxaz.sys этот файл не удаляется IceSword. Вернее при перезагрузке появляется опять. Второй фаqл высылаю. Все выполнил, но опять ломится в инет постоянно
29.05.2008, 16:49
kps

А где новые логи? По поводу файла, о котором вы сказали - Вы его скопировали в IceSword ?
30.05.2008, 09:09
SteppenWolf

Вложений: 3

Выкладываю новые логи

[[color=#CC0000]moderated: Файлы присылаются согласно приложения 3 правил[/color]]
30.05.2008, 09:13
SteppenWolf

И еще. Файл C:\WINDOWS\system32\sywtdxaz.sys скопировал, но при попытке архивирования WInZip выдает ошибку... так что как zip-файл не могу его отправить
30.05.2008, 09:39
V_Bond

карантин из темы - убрать ...
прислать по ссылке над темой ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
QuarantineFile('C:\WINDOWS\systemroot\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
BC_Importall;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
30.05.2008, 10:37
SteppenWolf

Вложений: 3

Новые логи...
30.05.2008, 10:47
PavelA

Все-таки надо пытаться удалить этот файл через IceSword:
C:\WINDOWS\system32\sywtdxaz.sys

AVZ с этим справиться пока не сможет.
30.05.2008, 10:59
SteppenWolf

Вроде бы убивается... но после перезагрузки появляется опять
30.05.2008, 11:01
kps

Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
30.05.2008, 11:25
SteppenWolf

Вложений: 1

Результат сканирования gmer`ом...
30.05.2008, 11:37
kps

Попробуйте в Gmer'е на закладке Files скопировать C:\WINDOWS\system32\sywtdxaz.sys, чтобы прислать нам.
Затем этому файлу сделайте force delete в IceSword и сразу затем выполните такой скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sywtdxaz');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Прикрепите новые логи по правилам и boot_clr.log из папки AVZ.
30.05.2008, 13:23
SteppenWolf

Вложений: 4

Очередные логи... похоже, что умер, активности не видно
30.05.2008, 13:26
SteppenWolf

А вот и эта ранее неубиваемая зараза
30.05.2008, 13:30
kps

Удалите ее отсюда, здесь нельзя, надо прислать ее сюда: [url]http://virusinfo.info/upload_virus.php?tid=23665[/url]
В логах чисто, зловред удален.
На всякий случай можете выполнить пункт 2 правил.
Какие-то проблемы остались?
30.05.2008, 14:47
SteppenWolf

Да вроде бы проблем сейчас нет. Поставил Dr.Web и запустил полную проверку системы

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

И эту заразу отправил куда надо...
Большое спасибо всем, кто помог!!!
30.05.2008, 15:53
kps

Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 05:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\syw - [B]Rootkit.Win32.Agent.avm[/B] (DrWEB: Trojan.Spambot.3329)[*] \\xej74.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.207)[/LIST][/LIST]