Симптомы такие, отрубает сеть (не могу пинговать другие компы из сетки). Логи прилагаются
Printable View
Симптомы такие, отрубает сеть (не могу пинговать другие компы из сетки). Логи прилагаются
Лог Hijackthis приложите, плиз.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\system32\mrcmgr.exe','');
TerminateProcessByName('c:\winnt\system32\mrcmgr.exe');
QuarantineFile('C:\WINNT\system32\ADMDLL.dll','');
QuarantineFile('C:\WINNT\system32\basejlx32.dll','');
QuarantineFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe','');
QuarantineFile('C:\WINNT\system32\hmlphl.dll','');
QuarantineFile('C:\WINNT\system32\ddr7xm.dll','');
DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}');
DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}');
DeleteFile('C:\WINNT\system32\ddr7xm.dll');
DeleteFile('C:\WINNT\system32\hmlphl.dll');
DeleteFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe');
DeleteFile('C:\WINNT\system32\basejlx32.dll');
DeleteFile('c:\winnt\system32\mrcmgr.exe');
QuarantineFile('C:\WINNT\system32\ddr7xm.bak','');
QuarantineFile('C:\WINNT\system32\hmlphl.dll','');
QuarantineFile('C:\WINNT\system32\ddr7xm.dll','');
QuarantineFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe','');
DeleteFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe');
DeleteFile('C:\WINNT\system32\3n5nxtoe.tmp');
DeleteFile('C:\WINNT\system32\3vt4f1x7.tmp');
DeleteFile('C:\WINNT\system32\42denzyz.tmp');
DeleteFile('C:\WINNT\system32\4zy1hmoi.tmp');
DeleteFile('C:\WINNT\system32\c7qakaqf.tmp');
DeleteFile('C:\WINNT\system32\cdvxrmbv.tmp');
DeleteFile('C:\WINNT\system32\ddr7xm.bak');
DeleteFile('C:\WINNT\system32\f72tu1bt.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин, сделать все новые логи.
Сори, забыл лог хайджека
новые логи
IE обновить надо
[CODE]MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)[/CODE]
Пофиксите
[CODE]
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\mrcmgr.exe,
O2 - BHO: MddApp Class - {1A4F919F-4334-4abf-BF47-0836A8B5A54B} - C:\WINNT\system32\ddr7xm.dll (file missing)
O2 - BHO: BhoApp Class - {AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B} - C:\WINNT\system32\hmlphl.dll
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINNT\system32\mrcmgr.exe
[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}');
DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}');
TerminateProcessByName('c:\winnt\system32\mrcmgr.exe');
QuarantineFile('C:\WINNT\system32\ADMDLL.dll','');
QuarantineFile('C:\WINNT\system32\basejlx32.dll','');
QuarantineFile('C:\WINNT\system32\mrcmgr.exe','');
QuarantineFile('C:\WINNT\system32\ddr7xm.dll','');
QuarantineFile('C:\WINNT\system32\hmlphl.dll','');
QuarantineFile('c:\winnt\system32\ddr7xm.dll','');
DeleteFile('c:\winnt\system32\ddr7xm.dll');
DeleteFile('C:\WINNT\system32\hmlphl.dll');
DeleteFile('C:\WINNT\system32\ddr7xm.dll');
DeleteFile('C:\WINNT\system32\mrcmgr.exe');
DeleteFile('C:\WINNT\system32\basejlx32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин, сделать все новые логи.
Небольшая поправочка... На машине стоит RAdmin Admdll.dll это его библиотека. Прогу ставил я, стоит на всех машинах в сети. Можно ли его не удалять?
[QUOTE=Bibigon;237385]Небольшая поправочка... На машине стоит RAdmin Admdll.dll это его библиотека. [/QUOTE]ОК, удалять не будем, но в карантин закачайте, плиз. Скрипт я подправил :). Если он не закачается - значит чист;)
вот такой наборчик:
access[1].htm - not-a-virus: Porn-Dialer.Win32.GBDialer.j
basejlx32.dll - Trojan.Win32.SubSys.dr,
hmlphl.dll - Backdoor.Win32.H3.a
ddr7xm.dll - not-a-virus:AdWare.Win32.BHO.bco
[QUOTE=PavelA;237390]вот такой наборчик[/QUOTE]Ну так другого и ждать не приходится, ежели [B]v5.00 SP4[/B] :)
Сорри
[QUOTE]O3 - Toolbar: @msdxmLC.dll,-1@1033,&Ðадио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx[/QUOTE]
можете оставить. Если пофиксили - можете из бекапа восстановить
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\basejlx32.dll - [B]Trojan.Win32.SubSys.dr[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\winnt\\system32\\cdvxrmbv.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\c7qakaqf.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\ddr7xm.bak - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\ddr7xm.dll - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\f72tu1bt.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\hmlphl.dll - [B]Backdoor.Win32.H3.a[/B] (DrWEB: Trojan.PWS.GoldSpy.2173)[*] c:\\winnt\\system32\\ssjn61c2.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\3n5nxtoe.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\3vt4f1x7.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\4zy1hmoi.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] c:\\winnt\\system32\\42denzyz.tmp - [B]not-a-virus:AdWare.Win32.BHO.bco[/B] (DrWEB: BackDoor.Bho.6)[*] d:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\g5uj89an\\access[1].htm - [B]not-a-virus:Porn-Dialer.Win32.GBDialer.j[/B] (DrWEB: Dialer.Maxd)[/LIST][/LIST]