Опять подхватил трояна. Полечил и сделал полную проверку программой Dr. Web CureIt!
Посмотрите, пожалуйста, информацию от AVZ и HijackThis:
Printable View
Опять подхватил трояна. Полечил и сделал полную проверку программой Dr. Web CureIt!
Посмотрите, пожалуйста, информацию от AVZ и HijackThis:
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
TerminateProcessByName('c:\documents and settings\sau0001\5591');
QuarantineFile('c:\documents and settings\sau0001\5591','');
DeleteFile('c:\documents and settings\sau0001\5591');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
BC_Importall;
BC_DeleteSvc('systemntmi');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=41872"]http://virusinfo.info/upload_virus.php?tid=41872[/URL]
Повторите логи по правилам.
Спасибо!
Скрипт выполнил, карантин загрузил.
И повторяю логи:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\sau0001\2229.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('c:\documents and settings\sau0001\2229.exe','');
DeleteFile('c:\documents and settings\sau0001\2229');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо, всё сделал. Карантин закачал. Прилагаю логи:
[B][COLOR="Red"]Обновите базы АВЗ!!![/COLOR][/B]
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\sau0001\3710.ехе');
QuarantineFile('c:\documents and settings\sau0001\3710.ехе','');
DeleteFile('c:\documents and settings\sau0001\3710.ехе');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо! К сожалению, я не смогу сейчас это проделать, потому что нахожусь на работе, и пробуду здесь ещё часов пять. Но по возвращении домой продолжу чистку.
Я хотел бы здесь только сообщить, что я посмотрел FAR'ом папку c:\documents and settings\sau0001\, которая фигурирует в скриптах. И вот что я могу сказать. Там нет файлов с расширением .exe, зато есть с десяток однородных файликов, которые именуются четырёхзначными числами без никакого расширения. И ещё: я не создавал на компьютере пользователя sau0001, хотя и использовал такой ник на одном сайте. Может быть, мне просто снести совсем эту папку? Такое впечатление, что эта папка используется зловредом для временного создания этих экзешников, а сам он расположен где-то в другом месте. Или, может быть, прислать в карантине эти файлы, чтобы по ним распознать, какая зараза там сидит? А она, боюсь, всё-таки где-то сидит, потому что траффик через две-три минуты начинает быстро расти, даже если я ничего не делаю в сети.
В общем, буду благодарен за любой совет. Или, вернувшись домой, сделаю всё, что Вы предложили.
Точно нет такого пользователя?
Пуск- Выполнить- Control userpasswords2
Посмотрите.
Карантин пришлите, как писалось ранее.
Спасибо, дома проверю. Но не должно быть такого пользователя. Комп домашний, кроме меня, им никто не пользуется, вообще при загрузке никакого пользователя не спрашивает. Откуда он взялся?
Карантин сделаю и всё остальное, конечно.
Обновить базы данных AVZ не удалось. При попытке выдало:
Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c [url]http://www.z-oleg.com/secur/avz_up/[/url] [21, 00000002]
При выполнении скрипта было красным что-то вроде "Ошибка карантина файла...", дальше не успел прочитать, потому что наступила перезагрузка.
Логи делал без обновления базы.
При выполнении Control userpasswords2 выдало, что на машине три пользователя:
User
Администратор
Гость
Пользователя с именем sau0001 нет. В директории c:\documents and settings\sau0001\ продолжает увеличиваться количество файлов с названием из трёх или четырёх цифр, без расширения, все одинаковой длины - 20123.
Траффик бешено растёт сразу после подключения к интернету.
Я в панике.
Не дождавшись здесь никакой реакции на последнее письмо, с отчаяния принялся экспериментировать. Вот что выяснилось:
В папке C:\WINDOWS\system32\drivers\ регулярно появляется какой-нибудь *.sys, который на поверку оказывается трояном Trojan.Download.24465.
После лечения программой Dr. Web CureIt! он исчезает, но через некоторое время опять появляется.
При выполнение скрипта лечения/карантина в списке процессов обязательно имеется запись c:\documents and settings\sau0001\хххх, где хххх - какое-нибудь число. И такой файл действительно имеется в этой папке.
Если его удалить командой скрипта DeleteFile('c:\documents and settings\sau0001\хххх');
после перезагрузки в этой папке обязательно появляется новый хххх, теперь уже это другое число, но файл обязательно есть.
И это - заколдованный круг.
Что делать?
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('systemntmi');
DeleteService('systemntmi');
TerminateProcessByName('c:\documents and settings\sau0001\868');
DeleteFile('c:\documents and settings\sau0001\868');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFileMask('c:\documents and settings\sau0001', '*.*', true);
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_DeleteSvc('systemntmi');
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
Сделайте полную проверку AVPTool.
Логи повторите.
Кажется, мы победили зловреда. Огромный Вам спасиб! У меня не получалось качать Касперского, потому что из-за вредных деяний вируса меня периодически блокировал и отключал от сети провайдер. Всё-таки я скачал программу в другом месте. Провёл шесть или восемь итераций, Касперский нашёл больше десятка гнездовий вируса, всех их замочил, вот что мы имеем в результате:
Ничего зловредного в логах нет.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{59A861EE-32B3-42cd-8CCA-FC130EDF3A44}');
end.[/CODE]
Спасибо!!!! Ваше сообщение - как пение соловья в майскую ночь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\sau0001\5591 - [B]Worm.Win32.Small.bb[/B] ( BitDefender: Trojan.Dropper.Kobcka.Gen.1 )[*] c:\windows\system32\drivers\ati64si.sys - [B]Rootkit.Win32.Agent.gvv[/B] ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )[*] c:\windows\system32\drivers\systemntmi.sys - [B]Rootkit.Win32.Agent.gvv[/B] ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )[/LIST][/LIST]