Перехватчики плодятся?

Printable View

30.07.2009, 11:36
sparrow

Вложений: 3

Перехватчики плодятся?

Здравствуйте.
При каждом последующем запуске АВЗ число перехваченных функций возрастает.
Помогите почистить пожалуйста.
30.07.2009, 11:54
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\orgmml.sys','');
QuarantineFile('C:\WINDOWS\System32\LIBMYSQL.dll','');
QuarantineFile('c:\windows\system32\cmptes.dll','');
QuarantineFile('C:\WINDOWS\System32\capisrv.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=50998[/url]).
[B]Обновите базы AVZ [/B]и сделайте новые логи.
30.07.2009, 12:46
sparrow

Вложений: 3

Результат загрузки
Файл сохранён как 090730_124106_virus_4a715ca256d71.zip
Размер файла 1458054
MD5 e64d7b395ac060a42bf157fc722947d2
Сделал.

Еще почему-то NOD стал выкатывать после загрузки (и потом периодически) ровно по 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно
30.07.2009, 13:05
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('Universal Plug and Play Device Net Host');
QuarantineFile('C:\WINDOWS\SSWG8-15.exe','');
DeleteFile('C:\WINDOWS\System32\capisrv.dll');
DeleteFile('C:\WINDOWS\System32\LIBMYSQL.dll');
DeleteFile('C:\WINDOWS\SSWG8-15.exe');
DeleteService('Universal Plug and Play Device Net Host');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Universal Plug and Play Device Net Host');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению
30.07.2009, 14:39
sparrow

Вложений: 3

Результат загрузки
Файл сохранён как 090730_143645_virus_4a7177bd9424b.zip
Размер файла 578
MD5 c98946adc6b10b976990a6c862d96355

Все сделал.
Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)
30.07.2009, 14:46
Rene-gad

В логах чисто. Жалобы есть?

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Acrobat Reader

[QUOTE=sparrow;440294]
Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)[/QUOTE]Удалите его через диспетчер оборудования.
30.07.2009, 15:26
sparrow

По поводу SP3 попробую (вообще комп не мой).

NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.
Похоже их (троянов) порождает что-то на компьютере
30.07.2009, 15:31
Rene-gad

[QUOTE=sparrow;440321]
NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.
[/QUOTE]Лог Нода прикрепите к сообщению, троянцев из карантина - по правилам закачайте.
30.07.2009, 16:05
sparrow

Вложений: 1

Результат загрузки
Файл сохранён как 090730_160127_virus_4a718b9704769.zip
Размер файла 437203
MD5 7a2df281b272b6a07433bba3f8ba1fa4

В NODе не нашел выгрузки карантина во внешний файл, отправил Вам сжатую папку Infected (пароль virus)? думаю, что это он.
30.07.2009, 18:55
Rene-gad

Спасибо, карантин получен :)
Выполните ещё тут: [url]http://virusinfo.info/showpost.php?p=435039&postcount=2[/url]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
[/b]
31.07.2009, 10:50
sparrow

Вложений: 3

Сделал
31.07.2009, 11:06
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('WinHelp32');
StopService('WcsSrv');
QuarantineFile('C:\WINDOWS\System32\capisrv.dll','');
QuarantineFile('c:\windows\system32\cmptes.dll','');
QuarantineFile('C:\Program Files\Common Files\Svc.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
DeleteFile('C:\WINDOWS\System32\capisrv.dll');
DeleteFile('c:\windows\system32\cmptes.dll');
DeleteFile('C:\Program Files\Common Files\Svc.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WinHelp32');
BC_DeleteSvc('WcsSrv');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
31.07.2009, 12:08
sparrow

Вложений: 3

Результат загрузки
Файл сохранён как 090731_120255_virus_4a72a52f836ac.zip
Размер файла 876664
MD5 10c6b8c236b4956c5027ce16657b6754

Сделал
31.07.2009, 12:15
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('ERSvc');
StopService('9954DCC8');
QuarantineFile('C:\WINDOWS\Fonts\31C7D188.DLL','');
QuarantineFile('C:\WINDOWS\system32\drivers\ERSvc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ERSvc.sys');
QuarantineFile('C:\WINDOWS\Fonts\F8E878D0.EXE','');
DeleteService('ERSvc');
DeleteService('9954DCC8');
DeleteFileMask('C:\WINDOWS\Fonts','*.EXE', false);
DeleteFileMask('C:\WINDOWS\Fonts','*.dll', false);
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
31.07.2009, 14:22
sparrow

Вложений: 3

Результат загрузки
Файл сохранён как 090731_142122_virus_4a72c5a2915d1.zip
Размер файла 1742
MD5 b0a363fc0e5eba90f434c32fa6acfc86

Сделал
01.08.2009, 14:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\svc.exe - [B]Backdoor.Win32.Agent.ajcb[/B] ( DrWEB: BackDoor.RemoteABC.9 )[*] c:\windows\fonts\f8e878d0.exe - [B]Trojan-Dropper.Win32.Agent.aypv[/B] ( DrWEB: Trojan.MulDrop.33051, BitDefender: Win32.Worm.Winko.I )[*] c:\windows\system32\capisrv.dll - [B]Backdoor.Win32.Rbot.krn[/B] ( DrWEB: Trojan.SqlShell.5, BitDefender: Worm.Hosete.A )[*] c:\windows\system32\capisrv.dll - [B]Exploit.Win32.SqlShell.h[/B] ( DrWEB: Trojan.SqlShell.4, BitDefender: Backdoor.Agent.AAHP )[*] c:\windows\system32\cmptes.dll - [B]Trojan-Downloader.Win32.Agent.ckvw[/B] ( DrWEB: Trojan.DownLoad.42029, BitDefender: Worm.Hosete.A )[*] c:\windows\system32\libmysql.dll - [B]Exploit.Win32.SqlShell.i[/B] ( DrWEB: Exploit.MySql.3 )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aaaf[/B] ( DrWEB: Trojan.PWS.Panda.114 )[*] c:\windows\system32\winhelp32.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.DownLoad.42056, BitDefender: Gen:Trojan.Heur.P.hC0@e4DmIshb )[*] \virus\c22jilca.nqf - [B]Trojan-Downloader.Win32.Agent.cjey[/B] ( DrWEB: BackDoor.ClDdos )[*] \virus\grfft0aa.nqf - [B]Trojan-Downloader.Win32.Apher.at[/B] ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE )[*] \virus\hlkftkaa.nqf - [B]Trojan-Downloader.Win32.Agent.ckyz[/B] ( BitDefender: Trojan.Rincux.AW )[*] \virus\ryqqcraa.nqf - [B]Trojan-Dropper.Win32.Agent.ayqf[/B] ( DrWEB: Trojan.MulDrop.32540 )[*] \virus\tco5wrca.nqf - [B]Trojan-Downloader.Win32.Agent.ckyf[/B] ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW )[*] \virus\tlxhrqca.nqf - [B]Trojan-DDoS.Win32.Agent.gd[/B] ( DrWEB: Trojan.MulDrop.29482 )[*] \virus\yis0vpca.nqf - [B]Backdoor.Win32.Agent.aioe[/B] ( DrWEB: DDoS.Attack.238, BitDefender: Backdoor.Hupigon.145523 )[*] \virus\zuwfxlba.nqf - [B]Backdoor.Win32.Small.iey[/B] ( DrWEB: BackDoor.Spy.37, BitDefender: Trojan.Rincux.AW )[*] \virus\0i2wctca.nqf - [B]Trojan-Downloader.Win32.Delf.uwc[/B] ( DrWEB: BackDoor.Darkshell.71 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]