Printable View
Здравствуйте. Принесли зараженный ПК. Проблемы с доступом в сеть. Сайты открываются только по ip пингуется все только по ip.
Посмотрел tcpdump-ом - есть обращения к левым dns 85.255.114.40 и к фэйковой сети 192.168.*.*
AVZ находит подмену драйвера, в реестре есть интерфейс с левым dns.
Пытался удалять вручную - не помогает.
Выручайте, пожалуйста!
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: MyCentria Internet Mate v2.1 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8682182-5A2A-4C28-8874-426A5838F5DD}: NameServer = 85.255.114.40,85.255.112.15
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\drivers\gaopdxinwgxbqa.sys','');
DeleteFile('C:\windows\system32\drivers\gaopdxinwgxbqa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=45653[/url]).
[B]Обновите базы AVZ [/B]и сделайте новые логи.
Огромное спасибо!!
Пожалуйста. Только не убегайте раньше времени.
Ждем новые логи для контроля.
Ой! Уже стал накатывать обновления видовз и установил AVG и только потом прочел Ваш ответ... )= AVG нашел C:\windows\system32\drivers\gaopdqpultupa.dll (Win32\Cryptor). Что делать? Снести AVG и все логи заново?
Нет, просто сделать логи...
Контрольные логи.
АВГ нашел несколько подобных goapdx*.sys в \system32\drivers
и 1 goapdx*.dll в \system32
Я так понимаю, что теперь они уже не могут вредничать.
Удалаю.
Система обновилось нормально. Можно отдавать ПК? (=
Логи AVZ делали до проверки AVG?
Из лога:
[QUOTE]Прямое чтение C:\WINDOWS\system32\drivers\gaopdxbdmtkjub.sys
Прямое чтение C:\WINDOWS\system32\drivers\gaopdxnmpxmfta.sys
Прямое чтение C:\WINDOWS\system32\drivers\gaopdxppfqrssw.sys
Прямое чтение C:\WINDOWS\system32\drivers\gaopdxpuyruchr.sys
Прямое чтение C:\WINDOWS\system32\drivers\gaopdxqqltlesp.sys
Прямое чтение C:\WINDOWS\system32\gaopdxqpultupa.dll
[/QUOTE]
Именно.
Тогда придется повторить.
После скана AVZ-ом \windows и установки WU.
Досылаю zip-ы AVZ
Вот теперь в логах чисто.
Можно при необходимости включить "Восст. системы"
Всем и каждому еще раз ОГРОМНОЕ спасибо!
Победа! (=
Тему закрываем.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\gaopdxinwgxbqa.sys - [B]Backdoor.Win32.IRCBot.jwx[/B] ( DrWEB: BackDoor.Tdss.73, BitDefender: Gen:Trojan.Heur.TDSS.401CE3D3D3 )[/LIST][/LIST]