Опять нахватался.

Printable View

Показывать 40 сообщений этой темы на одной странице

08.06.2008, 21:02
andrew70

Опять нахватался.

Извиняюсь за беспокойство.
Антивирус толком не работает, вот и нахватался.
Как обычно, помогите.
08.06.2008, 21:16
Гриша

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\nc6120\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C0B8091-AB3B-45AA-AB59-E468A0B66953}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{203B320B-0522-40B2-B048-C7CF553D6DAF}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{513D7A85-1CF2-4BC4-8436-BB91726AE4E6}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{5526C6D1-4BE3-46B9-93B2-55E435633637}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{768B005E-D353-46FA-A91A-6089F77EE63A}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EED329B-9682-4D7B-B257-AE495038B8B0}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ABEEE67-DAD4-44FB-8D91-C00D52D77F58}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C9E7DB-93DD-4DDD-A114-481BA292AF52}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2F13335-FE9D-4A68-9C7B-2F2B2331F82F}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8C61F8D-8A87-4841-8B90-4735BD7663E8}: NameServer = 85.255.116.60,85.255.112.86
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.60 85.255.112.86
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\loader.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{81DBAB16-CA34-c433-BE80-11E6692428A8}');
QuarantineFile('csrcs.dll','');
QuarantineFile('C:\WINDOWS\abass.exe','');
QuarantineFile('kdptc.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winwe31.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winpw41.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winov43.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winmt86.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winhp07.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winah30.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Uci74.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Uci63.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\qxF86.sys','');
QuarantineFile('Lrsn69.sys','');
QuarantineFile('C:\WINDOWS\system32\kdptc.exe ',' ');
QuarantineFile('C:\WINDOWS\System32\drivers\mtA74.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Jqx74.sys','');
QuarantineFile('c:\windows\system32\mbdis.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll','');
QuarantineFile('c:\docume~1\nc6120\locals~1\temp\csrssc.exe','');
TerminateProcessByName('c:\docume~1\nc6120\locals~1\temp\csrssc.exe');
DeleteService('Uci74');
DeleteService('Uci63');
DeleteService('Winwe31');
DeleteService('Winpw41');
DeleteService('Winov43');
DeleteService('Winmt86');
DeleteService('qxF86');
DeleteService('Lrsn69');
DeleteService('Winhp07');
DeleteService('Windows Internet Security');
DeleteService('mtA74');
DeleteService('Winah30');
DeleteService('Jqx74');
DeleteFile('C:\WINDOWS\system32\kdptc.exe ');
DeleteFile('c:\docume~1\nc6120\locals~1\temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('c:\windows\system32\mbdis.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Jqx74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\mtA74.sys');
DeleteFile('Lrsn69.sys');
DeleteFile('C:\WINDOWS\System32\drivers\qxF86.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Uci63.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Uci74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winah30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winhp07.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmt86.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winov43.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpw41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winwe31.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('kdptc.exe');
DeleteFile('C:\WINDOWS\abass.exe');
DeleteFile('csrcs.dll');
DeleteFile('C:\WINDOWS\Temp\loader.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(17 );
RebootWindows(true);
end.[/CODE]

Пришлите карантин,повторите логи.
08.06.2008, 22:16
andrew70

Вроде стало получше.
08.06.2008, 22:33
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winve42');
DeleteService('Winuc30');
DeleteService('Wintb42');
DeleteService('Winsa52');
DeleteService('Winry86');
DeleteService('Winry06');
DeleteService('Winqw41');
DeleteService('Winpw42');
TerminateProcessByName('c:\docume~1\nc6120\locals~1\temp\winspfd.exe');
DeleteFile('c:\docume~1\nc6120\locals~1\temp\winspfd.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpw42.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winqw41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winry06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winry86.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winsa52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wintb42.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winuc30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winve42.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winve42 ');
BC_DeleteSvc('Winuc30 ');
BC_DeleteSvc('Wintb42 ');
BC_DeleteSvc('Winsa52 ');
BC_DeleteSvc('Winry86 ');
BC_DeleteSvc('Winry06 ');
BC_DeleteSvc('Winqw41 ');
BC_DeleteSvc('Winpw42 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Очистите временные файлы,кеш браузера и повторите логи.
09.06.2008, 15:38
andrew70

Всё выполнил.
Вот логи.
Ещё хотел отключить все автозапуски.
Смог отключить только автозапуск с CDROM.
09.06.2008, 15:48
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Uci06');
DeleteService('Hov20');
DeleteFile('C:\WINDOWS\System32\drivers\Hov20.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Uci06.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Uci06 ');
BC_DeleteSvc('Hov20 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил
09.06.2008, 18:10
andrew70

Что-то комп опять стал виснуть.
Ещё вылазят какие-то предупреждения.
"GET/test/gewtghywa.dat HTTP/1.0 X-Forwarded-For:72.36.150.34 User-Agent:Wget/1.10.2 Accept: */* Host:....мой IP Connection: Keep-Alive"
09.06.2008, 20:26
andrew70

Помогите!!!
09.06.2008, 20:45
V_Bond

Spyware Doctor удалить ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system\winload.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\DOCUME~1\nc6120\LOCALS~1\Temp\csrssc.exe','');
DeleteFile('C:\DOCUME~1\nc6120\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
поставте нормальный антивирус ...
09.06.2008, 21:37
andrew70

В карантине ничего нет.
Есть только в папке "инфектед".
Эти же файлы не удаляються из папки TEMP.
Вот новые логи.
Spyware Doctor удалил.
09.06.2008, 21:44
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\inkjps.sys','');
DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
апмшлите карантин согласно приложения 3 правил ...
повторите логи ...
09.06.2008, 22:07
andrew70

Карантин отправил.
Вот новые логи.
09.06.2008, 22:14
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll','');
BC_DeleteSvc('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\inkjps.sys','');
QuarantineFile('c:\docume~1\nc6120\locals~1\temp\winhcooco.exe','');
QuarantineFile('c:\docume~1\nc6120\locals~1\temp\winboyjs.exe','');
DeleteFile('c:\docume~1\nc6120\locals~1\temp\winboyjs.exe');
DeleteFile('c:\docume~1\nc6120\locals~1\temp\winhcooco.exe');
DeleteFile('C:\WINDOWS\system32\drivers\inkjps.sys');
DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
09.06.2008, 22:46
andrew70

Скрипт выполнил.
В карантине ничего нет.
В папке TEMP посоянно появляются два приложения (winusyb, winkqehi) которые не удаляются.
Вылезает периодически окно " !!! GET/test/gewtghywa.dat HTTP/1.0 X-Forwarded-For:72.36.150.34 User-Agent:Wget/1.10.2 Accept: */* Host:....мой IP Connection: Keep-Alive"
В корзине пусто, а на экране рисует что в ней что-то есть. При попытке очистить, спрашивает:" Вы дейсвительно хотите удалить "WINDOWS"?"
09.06.2008, 23:00
V_Bond

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\inkjps.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\inkjps.sys');
DeleteFile('C:\DOCUME~1\nc6120\LOCALS~1\Temp\winffii.exe');
DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll');
DeleteFile('c:\docume~1\nc6120\locals~1\temp\winboyjs.exe');
DeleteFile('c:\docume~1\nc6120\locals~1\temp\winhcooco.exe');
BC_DeleteSvc('aic32p');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
09.06.2008, 23:15
andrew70

Скачал програмку, что с ней делать?
09.06.2008, 23:19
V_Bond

[url]http://virusinfo.info/showthread.php?t=17228[/url]
10.06.2008, 00:16
andrew70

В начале сделал скрипт.
По указанному пути файла уже небыло.
Как обычно поторопился.
Вот новые логи.
10.06.2008, 00:20
V_Bond

файл по указанному пути - на месте ...
10.06.2008, 01:12
andrew70

В логах я его тоже вижу.
А в Вашей програмке по указанному пути в папке drivers его не видно (отсортировал по алфавиту и всяко разно искал).

Показывать 40 сообщений этой темы на одной странице