Зловредный троян засел так долеко что ни касперыч, ни веб, ни есет, найти его немогут, забивает трафик полностью. Need help.
Заранее благодарен.
Printable View
Зловредный троян засел так долеко что ни касперыч, ни веб, ни есет, найти его немогут, забивает трафик полностью. Need help.
Заранее благодарен.
[b]Отключите восстановление системы![/b] См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{7B65C43D-DF0A-4919-99CD-76125CE83F7C}');
QuarantineFile('C:\WINDOWS\system32\updater.exe','');
QuarantineFile('C:\WINDOWS\system32\scvhost.exe','');
QuarantineFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll','');
QuarantineFile('C:\WINDOWS\system32\rKPbzUHze58GK2VWcYUCt.inf','');
QuarantineFile('C:\WINDOWS\system32\pEcFwPj48y6DADf87r.inf','');
QuarantineFile('C:\WINDOWS\system32\kFDDTTA2NjqgtbCWBxS.inf','');
QuarantineFile('C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll','');
QuarantineFile('C:\WINDOWS\system32\ed78ab9.dll','');
QuarantineFile('C:\WINDOWS\system32\eYNMAnskCCBQCc8Jp.dll','');
QuarantineFile('C:\WINDOWS\system32\eNyN5X48HrtXc.dll','');
QuarantineFile('C:\WINDOWS\system32\Y4npJWJNr.dll','');
QuarantineFile('C:\WINDOWS\system32\NWCWorkstation.dll','');
QuarantineFile('C:\WINDOWS\system32\Ias.dll','');
QuarantineFile('C:\WINDOWS\system32\Irmon.dll','');
QuarantineFile('C:\WINDOWS\system32\CDuAUVkGy9.dll','');
QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll','');
QuarantineFile('C:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf','');
QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
QuarantineFile('C:\WINDOWS\system32\6to4.dll','');
QuarantineFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll','');
QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\ktEDQzfuNZk2SUAMgyAZz.cur','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll','');
QuarantineFile('C:\WINDOWS\system32\NsPass0.sys','');
QuarantineFile('C:\WINDOWS\system32\NsPass1.sys','');
QuarantineFile('C:\WINDOWS\system32\NsPass2.sys','');
QuarantineFile('C:\WINDOWS\system32\NsPass3.sys','');
QuarantineFile('C:\WINDOWS\system32\NsPass4.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\WmiSvc.sys','');
DeleteService('WmiSvc');
DeleteService('NsPsDk04');
DeleteService('NsPsDk03');
DeleteService('NsPsDk02');
DeleteService('NsPsDk01');
DeleteService('NsPsDk00');
DeleteService('panp8');
QuarantineFile('C:\WINDOWS\system32\panp8.exe','');
QuarantineFile('c:\windows\mfc64.exe','');
DeleteService('mfc64');
DeleteService('haid');
DeleteService('FireFox2');
DeleteService('dsfdsf');
QuarantineFile('C:\WINDOWS\system32\Y5SV2X4RQX\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
QuarantineFile('C:\WINDOWS\system32\haid.exe','');
DeleteService('CNGSrv');
QuarantineFile('C:\WINDOWS\System32\Abcver.exe','');
QuarantineFile('c:\windows\system32\Ieupgrades.dll','');
QuarantineFile('c:\windows\system32\i\sqlserv.exe','');
QuarantineFile('c:\windows\system32\sqldebug.exe','');
DeleteFile('C:\WINDOWS\System32\Abcver.exe');
DeleteFile('C:\WINDOWS\system32\haid.exe');
DeleteFile('C:\WINDOWS\system32\firefox2.exe');
DeleteFile('C:\WINDOWS\system32\Y5SV2X4RQX\J001.exe');
DeleteFile('c:\windows\mfc64.exe');
DeleteFile('C:\WINDOWS\system32\panp8.exe');
DeleteFile('C:\WINDOWS\Downloaded Program Files\ktEDQzfuNZk2SUAMgyAZz.cur');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{AB8105BD-1B1B-40F3-8D3D-65FD7FC68CC5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc','EventMessageFile');
DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
DeleteFile('C:\WINDOWS\system32\2EF0D734.dll');
DeleteFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\6to4.dll');
DeleteFile('C:\WINDOWS\system32\704C3595.dll');
DeleteFile('C:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf');
DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll');
DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
DeleteFile('C:\WINDOWS\system32\Irmon.dll');
DeleteFile('C:\WINDOWS\system32\Y4npJWJNr.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{38FEFE05-702C-440D-AD5C-B796209A1CC5}');
DeleteFile('C:\WINDOWS\system32\cRsAQd4hw.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{93F33500-527E-4E33-AECA-69B15243A90E}');
DeleteFile('C:\WINDOWS\system32\eNyN5X48HrtXc.dll');
DeleteFile('C:\WINDOWS\system32\eYNMAnskCCBQCc8Jp.dll');
DeleteFile('C:\WINDOWS\system32\ed78ab9.dll');
DeleteFile('C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll');
DeleteFile('C:\WINDOWS\system32\kFDDTTA2NjqgtbCWBxS.inf');
DeleteFile('C:\WINDOWS\system32\pEcFwPj48y6DADf87r.inf');
DeleteFile('C:\WINDOWS\system32\rKPbzUHze58GK2VWcYUCt.inf');
DeleteFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll');
DeleteFile('C:\WINDOWS\system32\scvhost.exe');
DeleteFile('C:\WINDOWS\system32\updater.exe');
DeleteFile('c:\windows\system32\Ieupgrades.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новыe логи AVZ и приложите к этой теме.
Карантин отослал, логи высылаю.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\abcver.exe - [B]Backdoor.Win32.Agent.aknv[/B] ( AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\haid.exe - [B]Trojan.Win32.Scar.wws[/B] ( DrWEB: BackDoor.Beizhu.2801 )[*] c:\windows\system32\panp8.exe - [B]Trojan.Win32.Scar.wws[/B] ( DrWEB: BackDoor.Beizhu.2801 )[/LIST][/LIST]