Подозрение на вирусы

Printable View

01.09.2009, 16:36
deco90

Подозрение на вирусы

как-то плохо стал работать ноут.
тормозил сильно + ваш сайт не открывался
сейчас после проверки каспером сайт открывается нормально
но все же думаю, что вирусы остались
01.09.2009, 16:44
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Tulkarm] C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\lsass.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [Microsoft] taskmaneger.exe
O4 - HKLM\..\Run: [Windows Norman01 Service] norman32.exe
O4 - HKLM\..\Run: [Intel i386] C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\intel.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISPSERVICE] C:\DOCUME~1\1747~1\LOCALS~1\Temp\psycho.exe
O4 - HKLM\..\RunServices: [Microsoft] taskmaneger.exe
O4 - HKLM\..\RunServices: [Windows Norman01 Service] norman32.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\taskmaneger.exe','');
QuarantineFile('C:\WINDOWS\System32\norman32.exe','');
QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\systemac.dll','');
QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\psycho.exe','');
QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\systemac.dll','');
QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\lsass.exe','');
QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\systemac.dll','');
QuarantineFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\intel.exe','');
DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\intel.exe');
DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf150\systemac.dll');
DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\lsass.exe');
DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\gsf2\systemac.dll');
DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\psycho.exe');
DeleteFile('C:\DOCUME~1\1747~1\LOCALS~1\Temp\systemac.dll');
DeleteFile('C:\WINDOWS\System32\norman32.exe');
DeleteFile('C:\WINDOWS\System32\taskmaneger.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ngzitgi');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=53426[/url]).
Сделайте новые логи.
01.09.2009, 17:35
deco90

сделал новые логи
файл выслал
01.09.2009, 18:15
Bratez

Уже намного лучше, но это еще не все.
Сделайте такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url].

И готовьтесь к установке SP3, ибо с такой системой вы очень скоро к нам вернетесь:
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
01.09.2009, 19:26
deco90

сделал лог
прикрепляю
01.09.2009, 20:04
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del file "C:\WINDOWS\System32\bdtyca.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ngzitgi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ngzitgi"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
02.09.2009, 18:51
deco90

сделал как написано выше
после запуска cleanup.bat комп не перезагружался
новый лог выкладываю
02.09.2009, 21:55
thyrex

Лог чист. Что с проблемой?
02.09.2009, 23:52
deco90

ну вроде все стало нормально, только вот есть подозрение на некоторые файлы на локальном С. Типа:

bcrypt.html
dk.exe
dodo.com
efesgrdf.exe

и тд. Таких файлов порядка 25 штук. Все на локальном С
03.09.2009, 00:00
pig

Подозрения у кого?
03.09.2009, 10:45
deco90

у меня, разве эти файлы должны быть там?
03.09.2009, 19:58
pig

Так пришлите их по правилам.
04.09.2009, 19:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\1747~1\locals~1\temp\gsf150\intel.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.601[/B] ( DrWEB: Program.mIRC.601 )[*] c:\docume~1\1747~1\locals~1\temp\gsf2\lsass.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.601[/B] ( DrWEB: Program.mIRC.601 )[*] c:\docume~1\1747~1\locals~1\temp\psycho.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.603[/B] ( DrWEB: Program.mIRC.603, BitDefender: Backdoor.IRC, AVAST4: Win32:Trojan-gen {Other} )[*] c:\system volume information\_restore{a1bddd4f-24da-4922-a4e1-f8e8c07821ee}\rp23\a0009333.exe - [B]Backdoor.Win32.SdBot.oma[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, AVAST4: Win32:Inject-UW [Trj] )[*] c:\windows\system32\norman32.exe - [B]Net-Worm.Win32.Kolab.dut[/B] ( DrWEB: Trojan.MulDrop.32926, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\taskmaneger.exe - [B]Trojan-PSW.Win32.LdPinch.aiqp[/B] ( AVAST4: Win32:VB-MHX [Drp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]