Досталась машина по "наследству", но сильно уж вирусована.... помогите правильно пролечить....
Printable View
Досталась машина по "наследству", но сильно уж вирусована.... помогите правильно пролечить....
Пофиксить в HiJack
[CODE]F2 - REG:system.ini: Shell=explorer.exe [/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\CB4BDB90.DLL','');
QuarantineFile('C:\WINDOWS\system32\slbiops.exe','');
QuarantineFile('C:\WINDOWS\system32\odbccu32.exe','');
QuarantineFile('C:\WINDOWS\system32\X9H805Q4O4\J002.exe','');
DeleteService('fsaa');
QuarantineFile('C:\WINDOWS\Fonts\323AF35A.EXE','');
DeleteService('E22302FE');
QuarantineFile('C:\WINDOWS\system32\actzkkef-sierver.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\360Safe.exe','');
QuarantineFile('C:\WINDOWS\TEMP\Drvftl.sys','');
DeleteFile('C:\WINDOWS\Fonts\323AF35A.EXE');
DeleteFile('C:\WINDOWS\system32\X9H805Q4O4\J002.exe');
DeleteFile('C:\WINDOWS\Fonts\CB4BDB90.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
в четвертый раз пытаюсь выслать новые логи и карантин, эта тачка нормально работает после перезагрузки только 5 минут ;-(
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Logicle Disk');
QuarantineFile('C:\WINDOWS\System32\ksxvvc.fsl','');
QuarantineFile('C:\WINDOWS\System32\gghtqu.dlL','');
QuarantineFile('C:\WINDOWS\system32\oobe\obeips.exe','');
QuarantineFile('C:\WINDOWS\system32\slbiops.exe','');
QuarantineFile('C:\Program Files\Windows NT\Accessories\write.exe','');
QuarantineFile('C:\Program Files\Windows Media Player\wmpbands.exe','');
QuarantineFile('C:\WINDOWS\system\wmpbanexl.exe','');
QuarantineFile('C:\Program Files\Windows Media Player\wmpband.exe','');
QuarantineFile('C:\WINDOWS\system32\Restore\srfriame.exe','');
QuarantineFile('C:\WINDOWS\msagent\agentpsh.exe','');
QuarantineFile('C:\WINDOWS\msagent\agentdpv.exe','');
QuarantineFile('C:\WINDOWS\system32\actzkkef-sierver.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\360Safe.exe','');
QuarantineFile('c:\windows\system32\appmgmts.dll','');
DeleteFile('C:\WINDOWS\system32\odbccu32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Высылаю карантин... Повторные логи высылать?
P.S. При отправке в четвертом файл AVG сразу вырезал трояна...
Будем отстреливать по частям
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Plug Play Spooler');
DeleteService('RenPro(DPE)');
DeleteService('Network DSDM SRV');
DeleteService('Windows Management Audios');
DeleteFile('C:\WINDOWS\system32\oobe\obeips.exe');
DeleteFile('C:\Program Files\Windows Media Player\wmpband.exe');
DeleteFile('C:\Program Files\Windows Media Player\wmpbands.exe');
DeleteFile('C:\WINDOWS\system\wmpbanexl.exe');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Вот новые логи...
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Logicle Disk Mianas');
DeleteFile('C:\WINDOWS\system32\Restore\srfriame.exe');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
[CODE]c:\windows\system32\appmgmts.dll
C:\WINDOWS\TEMP\Drvftl.sys
C:\WINDOWS\system32\drivers\360Safe.exe
C:\Program Files\Windows NT\Accessories\write.exe[/CODE]Пришлите согласно [B]Приложению 2[/B] правил
Нормально копировался только первый файл, остальные с ошибкой....
[B]c:\windows\system32\appmgmts.dll[/B] нужно заменить [URL="http://virusinfo.info/showthread.php?t=51654"]по этой методике[/URL] (лучше с дистрибутива)
Остальные три файла скопируйте в другое место, запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Файл заменил...
Трех файлов нет... искал через стандартный проводник, а также через avz...
По этим путям ничего не находит..
Машина вроде работает..
Логи повторить?
Сделайте
Повторяю....
[CODE]C:\WINDOWS\System32\gghtqu.dlL
C:\WINDOWS\System32\ksxvvc.fsl[/CODE]Пришлите согласно [B]Приложения 2[/B] правил
Выполните скрипт в AVZ
[code]begin
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Карантин не удается.... в avz выдается ошибка...
Через проводник и avz файлы не находятся.. ;-(
Скрипт выполнил...
Установите Service Pack 2 на Windows.
Установите обновления безопасности на Windows.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\fmswmj');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\fmswmj\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSSQLSrv\Parameters','ServiceDll');
end.
[/code]
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\windows media player\wmpband.exe - [B]Trojan.Win32.KillAV.egi[/B] ( BitDefender: Gen:Trojan.Heur.wiW@rzsGzFdiy, AVAST4: Win32:Trojan-gen )[*] c:\windows\fonts\cb4bdb90.dll - [B]Backdoor.Win32.Popwin.coo[/B] ( DrWEB: Trojan.Popwin.1212, BitDefender: Win32.Worm.Winko.I )[*] c:\windows\fonts\323af35a.exe - [B]Trojan.Win32.Semki.fp[/B] ( DrWEB: Trojan.MulDrop.35530, BitDefender: Win32.Worm.Winko.I, NOD32: Win32/Popwin.NCH trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\appmgmts.dll - [B]Trojan-Downloader.Win32.Small.anpj[/B] ( BitDefender: Trojan.Generic.2485467, NOD32: Win32/KillAV.NFL trojan )[*] c:\windows\system32\odbccu32.exe - [B]Worm.Win32.Runfer.cxi[/B] ( DrWEB: BackDoor.RemoteABC.15, BitDefender: Gen:Trojan.Heur.xiW@r1rp7qfay, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\oobe\obeips.exe - [B]Backdoor.Win32.Hupigon.ihkr[/B] ( BitDefender: Gen:Trojan.Heur.DOWarXG9zImjy, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\restore\srfriame.exe - [B]Worm.Win32.Runfer.cxk[/B] ( BitDefender: Gen:Trojan.Heur.xiW@rHY7t9gay )[*] c:\windows\system32\x9h805q4o4\j002.exe - [B]Trojan.Win32.Scar.xvz[/B] ( DrWEB: Trojan.Siggen.4962, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]