Прошу помощи в лечении!
Printable View
Прошу помощи в лечении!
Вы CureIt ом проверялись? Если нет - сделайте как написано в прявилах прежде чем дальше пойдете.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: deapi - {7FB39539-665D-4D47-873C-D3FD9719FC3A} - C:\WINDOWS\system32\deapi.dll
O2 - BHO: ADSTechnology module - {831CBAC0-8283-4653-9D81-FEB9F3F6E47C} - C:\Program Files\ADSTechnology\ADSTechnology.dll
O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Program Files\ActivationManager\ActivationManager.dll (file missing)
O4 - HKLM\..\Run: [Nbect Control] nwdrvte.exe
O4 - HKLM\..\RunOnce: [Install completion] desme.exe
O4 - HKLM\..\Policies\Explorer\Run: [Internet Service] rtlib.exe
O4 - Global Startup: mfserver.lnk = ?
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Phh74');
DeleteService('Phc75');
DeleteService('Upf44');
QuarantineFile('C:\WINDOWS\system32\updceb.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Phh74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Phc75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Upf44.sys','');
QuarantineFile('C:\WINDOWS\system32\nwdrvte.exe','');
QuarantineFile('C:\WINDOWS\system32\rtlib.exe','');
QuarantineFile('C:\WINDOWS\system32\viwc.exe','');
QuarantineFile('C:\WINDOWS\system32\desme.exe','');
DelBHO('{7FB39539-665D-4D47-873C-D3FD9719FC3A}');
QuarantineFile('C:\WINDOWS\system32\deapi.dll','');
DelBHO('{831CBAC0-8283-4653-9D81-FEB9F3F6E47C}');
QuarantineFile('C:\Program Files\ADSTechnology\ADSTechnology.dll','');
DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}');
QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
DelCLSID('{5E2121EE-0300-11D4-8D3B-444553540000}');
DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll');
DeleteFile('C:\Program Files\ADSTechnology\ADSTechnology.dll');
DeleteFile('C:\WINDOWS\system32\deapi.dll');
DeleteFile('C:\WINDOWS\system32\desme.exe');
DeleteFile('C:\WINDOWS\system32\viwc.exe');
DeleteFile('C:\WINDOWS\system32\rtlib.exe');
DeleteFile('C:\WINDOWS\system32\nwdrvte.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Upf44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Phc75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Phh74.sys');
DeleteFile('C:\WINDOWS\system32\updceb.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Phh74');
BC_DeleteSvc('Phc75');
BC_DeleteSvc('Upf44');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Cureitom все прошел в самом начале. Почти ним сутки проганял.
По вашему первому ответу сделал все по полочкам.
Досылаю вложения. Помоему ничего не изменилось:(
[QUOTE=vector;268593]Помоему ничего не изменилось:([/QUOTE]то есть?
Откройте редактор реестра, пройдите по очереди к [COLOR="Magenta"]папкам[/COLOR] и удалите [COLOR="Blue"]ключи[/COLOR]
[CODE][COLOR="Magenta"]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce [/COLOR][COLOR="Blue"]
- Install completion[/COLOR]
[COLOR="Magenta"]HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run[/COLOR]
[COLOR="Blue"]- Nbect Control[/COLOR]
[COLOR="Magenta"]HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run[/COLOR]
[COLOR="Blue"]- Internet Service [/COLOR][/CODE]
Потом выполните скрипт
[CODE]begin
executerepair(9);
executerepair(11);
executerepair(17);
executerepair(13);
rebootwindows(true);
end.[/CODE]
После перезагрузки логи начиная от п.10 правил - в студию.
Сделал все.:?
[QUOTE=vector;268609]Сделал все.:?[/QUOTE]Чудненько :) Какие проблемы еще беспокоят? Судя по логам - никаких. Или я не прав?
А что может означать следующее, оно красным цветом в AVZ отображается..:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Функция NtCreateKey (29) перехвачена (80579528->F75380B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8057A69E->F753D84E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F753DBEE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F7538090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8057A29E->F753DCC6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F753DB46), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F753DD58), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=BAA7A000, размер=163840, имя = "\SystemRoot\system32\DRIVERS\nwrdr.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F5E1D8 -> перехватчик не определен
Проверка завершена
[QUOTE=vector;268615]А что может означать следующее, оно красным цветом в AVZ отображается..:
перехватчик C:\WINDOWS\system32\Drivers\sptd.sys[/QUOTE]
Драйвер Демона.
[CODE]SystemRoot\system32\DRIVERS\nwrdr.sys[/CODE]
NetWare Redirector File System Driver от Микрософта.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\desme.exe - [B]Trojan-Downloader.Win32.Agent.aenf[/B] (DrWEB: Trojan.KeyLogger.2451)[*] c:\\windows\\system32\\nwdrvte.exe - [B]Trojan-Downloader.Win32.Agent.aenf[/B] (DrWEB: Trojan.KeyLogger.2451)[*] c:\\windows\\system32\\rtlib.exe - [B]Trojan-Downloader.Win32.Agent.aenf[/B] (DrWEB: Trojan.KeyLogger.2451)[*] c:\\windows\\system32\\updceb.exe - [B]Trojan-Downloader.Win32.Agent.aenf[/B] (DrWEB: Trojan.KeyLogger.2451)[/LIST][/LIST]