Лечение установленным Симантеком и CureIt'ом не помогло. Файлы прикрепил.
Printable View
Лечение установленным Симантеком и CureIt'ом не помогло. Файлы прикрепил.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W\system32\wind32.exe','');
QuarantineFile('M1000Rmv.exe','');
QuarantineFile('C:\W\system32\wupdmng.exe','');
QuarantineFile('WinNt32.dll','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\W\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('nuB63');
QuarantineFile('C:\W\System32\drivers\nuB63.sys','');
BC_DeleteSvc('agM41');
QuarantineFile('C:\W\System32\drivers\agM41.sys','');
QuarantineFile('c:\w\runservice.exe','');
DeleteFile('C:\W\System32\drivers\agM41.sys');
DeleteFile('C:\W\System32\drivers\nuB63.sys');
DeleteFile('C:\W\System32\drivers\tcpsr.sys');
DeleteFile('WinNt32.dll');
DeleteFile('M1000Rmv.exe');
DeleteFile('C:\W\system32\wind32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Повторяю логи
C:\W\system32\wind32.exe- Email-Worm.Win32.Zhelatin.zj (kaspersky)
C:\W\system32\WinNt32.dll -Trojan-Downloader.Win32.Mutant.acm (kaspersky)
C:\W\system32\wupdmng.exe- свежий троян
c:\w\runservice.exe-свежий троян
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: reset5 - C:\W\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WinNt32 - C:\W\
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W\system32\clvsdg.exe','');
DeleteFile('C:\W\system32\wupdmng.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Вот это сделайте потом[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\W\system32\Drivers\GLOGODrv.sys','');
QuarantineFile('C:\W\System32\drivers\WINDRVR.SYS','');
QuarantineFile('C:\W\system32\wupdmng.exe','');
QuarantineFile('C:\W\system32\clvsdg.exe','');
QuarantineFile('C:\W\system32\DRIVERS\rksample.sys','');
QuarantineFile('C:\W\system32\DRIVERS\basic2.sys','');
QuarantineFile('C:\W\System32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\W\system32\drivers\sptddrv1.sys','');
TerminateProcessByName('c:\w\system32\wupdmng.exe');
TerminateProcessByName('c:\w\runservice.exe');
DeleteFile('C:\W\system32\clvsdg.exe');
DeleteFile('c:\w\runservice.exe');
DeleteFile('c:\w\system32\wupdmng.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
, карантин новый загрузить.
Ощущение, что первоначально загрузил старый архив :(
[quote=drongo;236768]Вот это сделайте потом
...
, карантин новый загрузить.[/quote]
После перезагрузки вылезла такая хня:
Восстановление Active Desktop
Произошла непредвиденная ошибка Windows. В качестве предосторожности был отключен рабочий стол Active Desktop. Для восстановления Active Desktop выполните следующие действия:
Перестал работать обозреватель, или же вы перезагрузили компьютер, не завершив работу Windows? В этом случае нажмитеи т.д. :upset:
Ну там же есть, что нажать для восстановления раб. стола. Не помогает?
Да не, помогло :) Просто не двигался без команды старших по званию :D
Хотелось бы понять, окончательный вердикт по последним карантинам будет? ;)
clvsdg.exe - [b]Trojan.Win32.Inject.cpd[/b]
Сделайте новые логи, начиная с п.10 правил.
Логи сделал
новый день - новая гадость .
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('asc3550p');
QuarantineFile('C:\Documents and Settings\Борис.QQ\cftmon.exe','');
BC_DeleteSvc('WMPNetworkSvcFastUserSwitchingCompatibility');
QuarantineFile('C:\W\system32\icsxmlp.exe','');
BC_DeleteSvc('COMSysAppccPwdSvc');
QuarantineFile('C:\W\system32\c_1252y.exe','');
BC_DeleteSvc('Schedule');
QuarantineFile('\W\system32\ntkrnlpa.exe','');
QuarantineFile('C:\W\system32\WinCtrl32.dll','');
QuarantineFile('C:\W\system32\drivers\spools.exe','');
QuarantineFile('c:\w\system32\drivers\spools.exe','');
DeleteFile('c:\w\system32\drivers\spools.exe');
DeleteFile('C:\W\system32\drivers\spools.exe');
DeleteFile('C:\W\system32\WinCtrl32.dll');
DeleteFile('C:\W\system32\c_1252y.exe');
DeleteFile('C:\W\system32\icsxmlp.exe');
DeleteFile('C:\Documents and Settings\Борис.QQ\cftmon.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Ув. хэлперы, меня вот что беспокоит - сегодня поставил ProcessGuard, заменил Atguard на Outpost. Может быть не надо было этого делать, а дождаться конечного рез-та вашей работы?
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Соня.QQ\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temporary Internet Files\Content.IE5\O36Z21A1\windd[1].exe','');
QuarantineFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temp\E.tmp','');
DeleteService('asc3550p');
BC_DeleteSvc('Schedule');
QuarantineFile('asc3550p.sys','');
DeleteFile('C:\W\system32\DRIVERS\asc3550p.sys');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('C:\Documents and Settings\Наташа.QQ\cftmon.exe');
DeleteFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temp\E.tmp');
DeleteFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temporary Internet Files\Content.IE5\O36Z21A1\windd[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Выполняю ...
Загружаю ...
Повторяю ...
было:
cftmon.exe - Worm.Win32.AutoRun.eav
icsxmlp.exe - Trojan.Win32.Inject.cpd
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.adg
Поставил Касперского. Нашел 23 троянца/вируса. Вот новые логи.
пофиксите ..
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\W\
[/code]
выполните скрипт ...
[code]
begin
BC_DeleteSvc('asc3550p');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...
Фиксю ...
Выполняю ...
Повторяю логи ...