-
Вложений: 3
Набор вреда
После переустановки ОС долго жил без постоянного антивируса. После установки KIS7 нашёл массу всего. Например, autorun.inf и h.cmd на всех локальных дисках. Что-то почистилось, но, видимо, не всё... В один момент обозначился сбой в Сетевом фильтре KIS7. Почти сразу заблокировалась Windows (с просьбой о cms с текстом 4111783973 на номер 3649). Перепугался! Странно, но простое нажатие на кнопку выключения ПК временно (до перезапуска ПК) отключало это всплывающее окно. После обнавления KIS7 и полного сканирования, а потом и удаления вреда это всплывающее окно перестало появляться вообще. Но до сих пор после перезагрузки KIS7 находит New threat (modificator): Hidden.Object в system32\<длинный набор букв.sys>. Удаляю и всё по-новому... Заметил, что что-то все время пытается подключиться к интернет. После, видимо, удачной попытки KIS7 предложил лечить Explorer.exe, после чего исчезла панель задач. Переключение между окнами производил с помощью Диспетчера задач, в котором, случайно обратил внимание на дублирование процесса rundll32.exe. Так же неожиданно произошло востановление. Не нравятся мне такие чудеса.
Подозрительные файлы на мой взгляд в system32\ : kgwmjtbp.dll, rlwzqc.dll, aptwhhhg.dll, qoMgeEvv.dll, xxyWOFVB.dll, urqOgfeB.dll, pbtjmwgk.ini, PVFOWyxx.ini, PVFOWyxx.ini2, bb0bc2bc-.txt.
Помогите, пожалуйста!..
-
Пофиксите в HijackThis:
[code]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Unknown Device Identifier\gwiopm.sys','');
QuarantineFile('C:\WINDOWS\system32\xxyWOFVP.dll','');
QuarantineFile('C:\WINDOWS\system32\rlwzqc.dll','');
QuarantineFile('C:\WINDOWS\system32\rbavpsus.dll','');
QuarantineFile('C:\WINDOWS\system32\qoMgeEvv.dll','');
QuarantineFile('C:\WINDOWS\system32\kjhbri.dll','');
QuarantineFile('C:\WINDOWS\system32\kgwmjtbp.dll','');
QuarantineFile('C:\WINDOWS\system32\jsoyisea.dll','');
DeleteFile('C:\WINDOWS\system32\jsoyisea.dll');
DeleteFile('C:\WINDOWS\system32\kgwmjtbp.dll');
DeleteFile('C:\WINDOWS\system32\kjhbri.dll');
DeleteFile('C:\WINDOWS\system32\qoMgeEvv.dll');
DeleteFile('C:\WINDOWS\system32\rbavpsus.dll');
DeleteFile('C:\WINDOWS\system32\rlwzqc.dll');
DeleteFile('C:\WINDOWS\system32\xxyWOFVP.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
DelBHO('{8520dd7b-7036-4a28-ae91-f95f163d4bc8}');
DelBHO('{7782CA99-17EB-40E5-925C-7EFB313BDC5B}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=43768[/url]).
Сделайте новые логи.
-
Вложений: 3
Вчера, уже после составления запроса на VirusInfo, снова обновил KIS7 и провёл быстрое сканирование. Был обнаружен и удалён hlncaugk.exe.
Сегодня после запуска ПК KIS7 снова обнаруживает Running process: C:\Windows\Explorer.EXE (PID:780), Intended address: [URL]http://disinfected[/URL]: Hidden data sending. Проявляется открытием окна IE и попыткой подключения к интернет.
Пофиксил в HijackThis.
Выполнил Ваш скрипт в AVZ.
Присылаю карантин и новые логи.
P.S. Спасибо за оперативность!
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys','');
QuarantineFile('qoMgeEvv.dll','');
QuarantineFile('C:\WINDOWS\system32\qoMgeEvv.dll','');
QuarantineFile('C:\WINDOWS\system32\xxyWOFVP.dll','');
QuarantineFile('C:\WINDOWS\system32\ucakzj.dll','');
QuarantineFile('C:\WINDOWS\system32\ebrvsiqv.dll','');
QuarantineFile('C:\Program Files\Unknown Device Identifier\gwiopm.sys','');
DeleteFile('C:\WINDOWS\system32\ebrvsiqv.dll');
DeleteFile('C:\WINDOWS\system32\ucakzj.dll');
DeleteFile('C:\WINDOWS\system32\qoMgeEvv.dll');
DeleteFile('C:\WINDOWS\system32\xxyWOFVP.dll');
DeleteFile('qoMgeEvv.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys');
DelBHO('{7041EC89-0D41-4835-8A15-2945302A1EDC}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{65e24cf0-76a6-49f6-b710-a082f7d7e1f2}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
Вложений: 3
Здравствуйте, добрые волшебники!
Мой отчёт: При запуске ПК KIS7 обнаружил и удалил Trojan-Downloader.Win32.FraudLoad.vohb
(c:\windows\system32\kdqweote.exe) и ещё 6-ть New threat (modification): Hidden.Object
(c:\windows\system32\ovfshlog.dat; c:\windows\system32\ovfshlog<набор букв>.dat - два;
c:\windows\system32\ovfshlog<набор букв>.dll - три). Произвел перезагрузку для их полного(?) удаления. В момент загрузки личных параметров ПК сам перезапустился. Произвёл быстрое сканирование KIS7 - чисто.
Далее выполнял по порядку поручения Rene-gad. После выполнения скрипта и перезагрузки ПК выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Очистил темп-папки. После выполнения перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил первый скрипт и после перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил другие два скрипта. Логи и запрошенный карантин посылаю. Да, кстати, запустился внутренний Сетевой экран KIS7 (всё это время показывающий ошибку), но не позволяет выходить ни на какие сайты - что-то с настройками?.. Пришлось временно его отключить и включить Виндовский.
Еще информации (через два часа): Обновил KIS7, запустил быстрое сканирование. Обнаружен и удалён Adware.Win32.SuperJuan.tls (c:\windows\system32\mwojtfdm.dll ). На сегодня всё.
-
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [b02806c2] rundll32.exe "C:\WINDOWS\system32\ebrvsiqv.dll",b
O20 - Winlogon Notify: qoMgeEvv - C:\WINDOWS\
[/code]
Больше ничего подозрительного не видно.
-
Вложений: 3
Сделал всё, как прописал Bratez. Прикрепляю логи.., чтоб наверняка. Вопросы если эти логи будут чисты:
- можно ли эти логи хранить, как "эталон" и под них зачищать последующие;
- что делать с файлами карантина.
-
C:\WINDOWS\system32\ucakzj.dll - пришлите согласно приложения 3 правил (только его )
-
Пожалуйста, файл отправляю. Что дальше. Я ещё не получил ответы на предыдущие вопросы, пожалуйста.
-
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ucakzj.dll ');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ....
ЗЫ насчет "вопросов"
1 нет
2 естественно можно удалить
-
Вложений: 3
-
кроме отсутствия обновлений , пока ничего плохого ....
-
-
-
[QUOTE= пока ничего плохого ....[/QUOTE]
Высока вероятность?..
-
не обновите систему , это продлиться не долго ...
-
Всем спасибо! Всего хорошего! Пошёл обновляться...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys - [B]Trojan.Win32.Tdss.zks[/B] ( DrWEB: BackDoor.Tdss.115 )[*] c:\windows\system32\ebrvsiqv.dll - [B]Trojan.Win32.Monder.bzrp[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )[*] c:\windows\system32\jsoyisea.dll - [B]Trojan.Win32.Monder.bzrp[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )[*] c:\windows\system32\kgwmjtbp.dll - [B]Trojan.Win32.Monder.bzic[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )[*] c:\windows\system32\kjhbri.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.tls[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )[*] c:\windows\system32\qomgeevv.dll - [B]Trojan.Win32.Monderb.apud[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.207986A6A6 )[*] c:\windows\system32\rbavpsus.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.tls[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )[*] c:\windows\system32\rlwzqc.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.tlj[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )[*] c:\windows\system32\ucakzj.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.tls[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )[*] c:\windows\system32\xxywofvp.dll - [B]Trojan.Win32.Monder.bzuv[/B] ( DrWEB: Trojan.Virtumod.855, BitDefender: Gen:Trojan.Heur.Vundo.E0B9466666 )[/LIST][/LIST]
Page generated in 0.00691 seconds with 10 queries