Нашел несколько троянов и что-то еще, не могу избавиться.
Printable View
Нашел несколько троянов и что-то еще, не могу избавиться.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('service.sys', 4);
SetServiceStart('Microsoft PS Service', 4);
SetServiceStart('symavc32', 4);
SetServiceStart('hipsrv', 4);
QuarantineFile('C:\WINDOWS\system32\mmmaklak.dll','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\service.sys','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\WINDOWS\system32\1049j.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\c1398e01.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\b52c25d8.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\54978da0.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\4995812.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\3773f57e.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\1049j.exe');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\service.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\system32\mmmaklak.dll');
DeleteFile('C:\WINDOWS\System32\drivers\3773f57e.sys');
DeleteFile('C:\WINDOWS\System32\drivers\4995812.sys');
DeleteFile('C:\WINDOWS\System32\drivers\54978da0.sys');
DeleteFile('C:\WINDOWS\System32\drivers\b52c25d8.sys');
DeleteFile('C:\WINDOWS\System32\drivers\c1398e01.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[1].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[2].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[3].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[4].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[5].htm');
DeleteFile('C:\WINDOWS\system32\7z.exe');
DeleteService('symavc32');
DeleteService('ThemesRpcLocator');
DeleteService('Microsoft PS Service');
DeleteService('ThemesRpcLocator');
DeleteService('ThemesRpcLocator');
DeleteService('hipsrv');
DeleteService('service.sys');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmaklak.dll [/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]
Повторите логи.
Скрипт выполнил, профиксить неудалось, таких строк неоказалось.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\3773f57e.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\4995812.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\54978da0.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\b52c25d8.sys','');
DeleteService('c1398e01');
DeleteService('b52c25d8');
DeleteService('54978da0');
DeleteService('4995812');
DeleteService('3773f57e');
DeleteFile('C:\WINDOWS\System32\drivers\c1398e01.sys');
DeleteFile('C:\WINDOWS\System32\drivers\b52c25d8.sys');
DeleteFile('C:\WINDOWS\System32\drivers\54978da0.sys');
DeleteFile('C:\WINDOWS\System32\drivers\4995812.sys');
DeleteFile('C:\WINDOWS\System32\drivers\3773f57e.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('c1398e01');
BC_DeleteSvc('b52c25d8');
BC_DeleteSvc('54978da0');
BC_DeleteSvc('4995812');
BC_DeleteSvc('3773f57e');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Скинул
Ничего подозрительного.
Жалобы есть?
Жалоб нет, огромное спасибо.:)
Знать бы еще что за гадость была
[QUOTE=mixam;291149]
Знать бы еще что за гадость была[/QUOTE]
Завтра зайдите и напомните о себе.
:):):)
в присланном карантине было только Trojan.Win32.Pakes.bhh (kaspersky)
[url=http://www.threatexpert.com/report.aspx?uid=5762e8af-680b-4238-81b8-08f9c2f3a9aa]анализ [/url]
Могу сказать даже больше, как не заразиться вновь ;) Читаем и выполняем:
[url]http://virusinfo.info/showthread.php?t=30339[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[1].htm - [B]Trojan.Win32.Pakes.bhh[/B] (DrWEB: Trojan.Spambot.4117)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[2].htm - [B]Trojan.Win32.Pakes.bhh[/B] (DrWEB: Trojan.Spambot.4117)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[3].htm - [B]Trojan.Win32.Pakes.bhh[/B] (DrWEB: Trojan.Spambot.4117)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[4].htm - [B]Trojan.Win32.Pakes.bhh[/B] (DrWEB: Trojan.Spambot.4117)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[5].htm - [B]Trojan.Win32.Pakes.bhh[/B] (DrWEB: Trojan.Spambot.4117)[/LIST][/LIST]