Вирусы 7

Printable View

02.06.2008, 09:02
BMW

Вирусы 7

Здравствуйте Уважаемые !! Знакомая девушка принесла компьютер , проблема в следующем - Комп не загружается в нормальном режиме грузиться до приветствия и уходит в перегруз :( Можно запустить только в Безопасном режиме. Проверил Кюретом нашел кучу троянов , а также заражен файл "winlogon.exe" который находиться в папке Windows.
Вижу в автозагрузке кучу гадостей + процессы нафиг которые н енужны и не известны в диспетчере задач висят

Зашел в папочку ТЭМП и увидел там Винлогон выгрузил его из процесса и грохнул но проблема не исчезла :(

Прилагаю логи посмотрите плиз.
02.06.2008, 10:23
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\basegddxo32.dll','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\basegddxo32.dll');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Пришлите карантин по правилам,повторите логи.
02.06.2008, 11:11
BMW

Файл сохранён как 080602_021050_virus_48439cfa35229.zip
Размер файла 22108
MD5 10caadb21015d2bd90fbdd2674818274

карантин выслал , логи щас повторю

Пока не могу еще в нормальном режиме загрузиться ! Делаю в безопасном
02.06.2008, 11:31
BMW

новые логи
02.06.2008, 12:00
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\farkrish.exe','');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин,повторите логи с п.10 правил
02.06.2008, 12:18
BMW

не нравиться мне вот это "[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" - висит в автозагрузке.

карантин выслал
Файл сохранён как 080602_031511_virus_4843ac0fafbf6.zip
Размер файла 218122
MD5 192a5eac4e00b452d4b953f5e485feec

новые логи, проверил архив карантина на вирустотал - показывает что файлы чистые

Так же пока зайти в нормальном режиме не могу, все делаю в безопасном
02.06.2008, 12:34
BMW

я так полагаю если убрать вот это "[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" с автозагрузки то он не должен перегружаться . Правильно я мыслю ?
02.06.2008, 12:38
PavelA

Да. Правильно.
Это вызов автомат. перезагрузки при появлении ошибок. Если перенастроить это дело, то будет БСОД, на котором можно прочитать кто виноват. :)
02.06.2008, 12:49
BMW

[quote=PavelA;235150]Да. Правильно.
Это вызов автомат. перезагрузки при появлении ошибок. Если перенастроить это дело, то будет БСОД, на котором можно прочитать кто виноват. :)[/quote]

БСОД не вылетил как только рабочий стол появляется при нормальной загрузке комп берет и в перегруз уходит. И опять появляется в автозагрузке этот файл и еще там висит вот эта гадость "farkrish"
02.06.2008, 12:57
PavelA

Выполнить скрипт. Файл этот гугл не знает, попробуем глохнуть.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\farkrish.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
02.06.2008, 13:15
BMW

Вызвал БСОД :) ссылается на файл amon.sys так же в корне диска С обнаружил файл 367.tmp полагаю его можно грохнуть

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

в нормальный режим все так же зайти не могу :(
02.06.2008, 13:31
PavelA

Значит, задача будет просто: деинсталлировать НОД, а потом установить заново.
02.06.2008, 13:37
BMW

[quote=PavelA;235185]Значит, задача будет просто: деинсталлировать НОД, а потом установить заново.[/quote] Вот что я и сделал еще даже не прочитал сообщение :) Щас качаю каспера и поставлю. А в логах ничего подозрительного нет которые я последние отправлял ?
02.06.2008, 13:44
PavelA

Твоего 'C:\WINDOWS\farkrish.exe' Симантек убил на подлете. Он был в посл. карантине.

[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]

Trojan.Peacomm.D - 'C:\WINDOWS\farkrish.exe' по Симантеку.
По описанию, может завершать процессы антивирусов, поэтому м.б. Нод в этих бедах не был виноват.
02.06.2008, 14:02
BMW

[quote=PavelA;235199]Твоего 'C:\WINDOWS\farkrish.exe' Симантек убил на подлете. Он был в посл. карантине.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 59 секунд[/I][/B][/COLOR][/SIZE]

Trojan.Peacomm.D - 'C:\WINDOWS\farkrish.exe' по Симантеку.
По описанию, может завершать процессы антивирусов, поэтому м.б. Нод в этих бедах не был виноват.[/quote]

Ну я так и подумал что вирусня НОД убила и начала резвиться по полной :) Спасибо вам огромное . Ну если зловредов нет значит закрываем тему. Сейчас как раз пишу в нормальном Режиме :)