Printable View
Здрасти. Такая проблема клиент банк (Сбербанк) не работает, ведет себя так что якобы переустановили Windows, при запуске файла конфигурации и нажатии на ОК должно появиться окно с кодом и просьбой ввести ответ, а этого не происходит при копировании на другой комп все правильно работает. Лечил антивирусниками (Nod avira), не помогло, когда avz запускаешь на лечение все работает, после перезагрузке опять не работает. Помогите разобраться
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_DeleteSvc('hjgruiuxmpjxum');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам Приложение 3.
Сделать новые логи + лог Gmer.
Скрипт выполнил, вот новые логи и карантин. Жду дальнейших указаний
Выполнить скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys','');
QuarantineFile('C:\WINDOWS\system32\hjgruiobowlxdo.dll','');
QuarantineFile('C:\WINDOWS\system32\hjgruirvkypbob.dll','');
QuarantineFile('C:\WINDOWS\system32\hjgruivyqjivdk.dat','');
QuarantineFile('C:\WINDOWS\system32\hjgruiqjkvpnpo.dat','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\hjgruiqjkvpnpo.dat');
DeleteFile('C:\WINDOWS\system32\hjgruirvkypbob.dll');
DeleteFile('C:\WINDOWS\system32\hjgruiobowlxdo.dll');
DeleteFile('C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del service hjgruitkyidqgi
gmer.exe -del file "C:\WINDOWS\system32\drivers\hjgruiuxmpjxum.sys"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiobowlxdo.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruirvkypbob.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruivyqjivdk.dat"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiqjkvpnpo.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hjgruitkyidqgi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hjgruitkyidqgi"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новые логи + новый лог gmer
Добрый день. Все сделал как и писали. один файл AVZ не может поместить в карантин, поэтому и в прошлый раз карантин был пустой и сейчас файла этого нету. Вот что пишет:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\itcadvapi.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\itcadvapi.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\itcadvapi.dll)
Карантин с использованием прямого чтения - ошибка
Это от ViPNet CryptoService нормальный файл.
C:\WINDOWS\SYSTEM32\VIDEO.sys - поищите через AVZ и пришлите через карантин.
Не находит VIDEO.sys ни AVZ, ни Total Com, ни стандартный поиск, только в реестре находит ключи
Выполнить скрипт:
[CODE]begin
BC_DeleteSvc('VIDEO');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Прислать лог.
Скрипт выполнил. Вот лог
Не удалился. Попробуй в AVZ поиск по реестру найти video.sys и удалить его.
Ура. Вроде все заработало, пару дней попробуем потестируем как себя вести будет. Спасибо за помощь:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\hjgruirvkypbob.dll - [B]Trojan.Win32.Monder.cqbi[/B] ( DrWEB: BackDoor.Tdss.265 )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( BitDefender: Trojan.Generic.1339854 )[/LIST][/LIST]