трояны...руткиты

Printable View

07.10.2008, 15:51
lemurz9

Вложений: 3

трояны...руткиты

Добрый день!
Помогите, пожалуйста в лечении еще одного компа.
avira заругалась на процесс ati2wcxx.sys
В логах avz кроме подозрительных объектов не нравятся:
.sys
ati0xdxx.sys (я так понимаю, это из одной команды с ati2wcxx.sys, имена меняются что ли)
megaup~1.dll
Что еще плохого есть?
PS:Пожалуйста, не ругайтесь, что логи не совсем по правилам...
(восстановление системы было не отключено и не все лишние процессы остановлены)
просто комп не мой, сделали логи пока как смогли
07.10.2008, 16:27
Гриша

Восстановление отключить!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL','');
DeleteService('ati0xdxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ati0xdxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам,очистите временные папки,кеш браузера и повторите логи...
07.10.2008, 16:49
lemurz9

Уже отключено и очищено...
А подскажите, от этого Bonjour какой вред?
поставился вроде с какой-то прогой от adobe, c Photoshop или acrobat...
и dns-sd.exe я так понимаю тоже от него...
зы: основной проге не навредит?
07.10.2008, 17:06
Гриша

Удалите его [url]http://virusinfo.info/showthread.php?t=27923[/url]
08.10.2008, 09:39
lemurz9

Вложений: 3

Добрый день!
В карантин попали только следующие файлы:
C:\Program Files\MapInfo\Professional7\MapInfoW.bak
C:\Program Files\Graphisoft\ArchiCAD10\ArchiCAD.exe.bak
C:\Program Files\DivX\DivXConverter\Converter.exe.bak
Думаю, присылать их не надо...
После скрипта MEGAUP~1.DLL и ati2wcxx.sys живы-здоровы и чувствуют себя прекрасно. Выпишите им что-нибудь еще, доктор:)
Удалить Bonjour по рецепту Rene-gad еще не успела.
Вот новые логи

up
08.10.2008, 13:05
Rene-gad

Удалите Megaupload Toolbar

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys','');
StopService('ati2wcxx');
DeleteService('ati2wcxx');
DeleteService('Bonjour Service');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll');
DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}');
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati2wcxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
09.10.2008, 12:57
lemurz9

Вложений: 2

Добрый день!
При выполнении скрипта комп выпал в черный экран... Выходить из этого состояния самостоятельно не собирался и был принудительно перезагружен...
Не знаю, выполнился ли скрипт правильно...
В карантин попали все те же безвредные файлы, что и в прошлый раз...
ati2wcxx.sys по-прежнему на месте и в карантин не попал...
Megaupload Toolbar по хорошему удалить не получается - ошибка setup.exe
Откючила его пока в надстройках IE...
Вот новые логи
09.10.2008, 13:06
Rene-gad

Скачайте IceSword, удалите с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
[CODE]C:\WINDOWS\System32\Drivers\ati2wcxx.sys
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ati2wcxx');
DeleteService('ati2wcxx');
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}');
DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll');
DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati2wcxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам.
10.10.2008, 09:06
lemurz9

ati2wcxx.sys не могут найти ни IceSword, ни avz (в безопасном режиме тоже)...
может с диска загрузиться и из консоли его попробовать удалить?
скрипт выполнился без ошибок...
10.10.2008, 09:28
V_Bond

новый комплект логов давайте ...
10.10.2008, 09:39
lemurz9

Вложений: 2

нету.. его там нету:dance4:
я имею ввиду ati2wcxx.sys в логах нет
посмотрите, больше ничего плохого?
10.10.2008, 09:54
V_Bond

ничего плохого
10.10.2008, 09:58
lemurz9

Благодарю всех, кто мне помогал:thank_you2: