Есть трояны псевдоантивирус, заражённый userinit, svchost и services.
Printable View
Есть трояны псевдоантивирус, заражённый userinit, svchost и services.
Отключите антивирус и интернет!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [4830f05a] rundll32.exe "C:\WINDOWS\system32\kvfimnro.dll",b
O4 - HKLM\..\Run: [BM4b03c3c6] Rundll32.exe "C:\WINDOWS\system32\glnppfyb.dll",s
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'SYSTEM')
O17 - HKLM\System\CCS\Services\Tcpip\..\{81850DE4-EB6D-4E1C-BCA5-14A3F6149951}: NameServer = 85.255.116.165,85.255.112.195
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.165 85.255.112.195
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ipsecpooler.exe');
SetServiceStart('ipsecpooler', 4);
StopService('ipsecpooler');
QuarantineFile('globalroot\systemroot\system32\drivers\msliksurserv.sys','');
QuarantineFile('C:\WINDOWS\system32\sla32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vci74.sys','');
QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\89a596b1.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\user\ie_updates3r.exe','');
QuarantineFile('srv.exe','');
DeleteService('ipsecpooler');
QuarantineFile('C:\WINDOWS\system32\qoMghIxV.dll','');
QuarantineFile('C:\WINDOWS\system32\kvfimnro.dll','');
QuarantineFile('C:\WINDOWS\system32\glnppfyb.dll','');
QuarantineFile('c:\windows\system32\ipsecpooler.exe','');
DeleteService('COMSysApp AntiVirus');
DeleteService('CiSvcAudioSrv');
DeleteService('Google Online Services');
DeleteService('VSSCryptSvc');
DeleteService('SPBBCSvcRpcSs');
DeleteService('ShellHWDetectionSPBBCSvc');
DeleteService('Jeg33');
DeleteService('89a596b1');
DeleteService('Winlr16');
DeleteService('ipsecndisbridge');
DeleteService('vci74');
DeleteService('Schedule');
DeleteFile('c:\windows\system32\ipsecpooler.exe');
DeleteFile('C:\WINDOWS\system32\glnppfyb.dll');
DeleteFile('C:\WINDOWS\system32\kvfimnro.dll');
DeleteFile('C:\WINDOWS\system32\qoMghIxV.dll');
DeleteFile('srv.exe');
DeleteFile('C:\Documents and Settings\user\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\drivers\89a596b1.sys');
DeleteFile('C:\WINDOWS\system32\ipsecndis.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vci74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr16.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\qoMdCUol.dll');
DeleteFile('qoMdCUol.dll');
DeleteFile('C:\WINDOWS\system32\sla32.dll');
DeleteFile('C:\WINDOWS\system32\domiebho.dll');
DeleteFile('globalroot\systemroot\system32\drivers\msliksurserv.sys');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{F4E0F49D-DB3C-45CA-B98C-1B6ACEA49A01}');
DelBHO('{E5646F36-145E-4F1D-B6D1-87C5EFC5BA1C}');
DelBHO('{A4D16645-4149-41FB-B670-E06072E540C1}');
DelBHO('{6D0386B3-FD72-488E-9740-90355AE21735}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winlr16 ');
BC_DeleteSvc('ipsecpooler ');
BC_DeleteSvc('Schedule ');
BC_DeleteSvc('ShellHWDetectionSPBBCSvc ');
BC_DeleteSvc('COMSysApp AntiVirus ');
BC_DeleteSvc('CiSvcAudioSrv ');
BC_DeleteSvc('VSSCryptSvc ');
BC_DeleteSvc('vci74 ');
BC_DeleteSvc('ipsecndisbridge ');
BC_DeleteSvc('89a596b1 ');
BC_DeleteSvc('Jeg33 ');
BC_DeleteSvc('SPBBCSvcRpcSs ');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=27232[/url]
Повторите логи...
Сделал. Новые логи. Карантин залил.
пофиксите ...
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{81850DE4-EB6D-4E1C-BCA5-14A3F6149951}: NameServer = 85.255.116.165,85.255.112.195
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.165 85.255.112.195
O20 - Winlogon Notify: qoMdCUol - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{F4E0F49D-DB3C-45CA-B98C-1B6ACEA49A01}');
DeleteService('Jeg33');
QuarantineFile('C:\WINDOWS\system32\accessl.exe','');
DeleteService('ERSvcBrowser');
DeleteFile('C:\WINDOWS\system32\accessl.exe');
DeleteFile('Jeg33.sys');
DeleteFile('C:\WINDOWS\system32\qoMghIxV.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Пофиксл, скрипт выполнил, но в карантин файл не попал QuarantineFile('C:\WINDOWS\system32\accessl.exe',''), сейчас делаю новые логи
Вот новые логи
Чисто,жалобы есть?
Спасибо. Жалоб нет (тока на свои руки)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\glnppfyb.dll - [B]Trojan.Win32.Monder.bcb[/B] (DrWEB: Trojan.Virtumod.450)[*] c:\\windows\\system32\\ipsecpooler.exe - [B]Backdoor.Win32.QBot.b[/B][*] c:\\windows\\system32\\kvfimnro.dll - [B]Trojan.Win32.Monder.bez[/B][*] c:\\windows\\system32\\qomghixv.dll - [B]Trojan.Win32.Monder.jlj[/B] (DrWEB: Trojan.Virtumod.441)[/LIST][/LIST]