Банер, winlock

Printable View

26.01.2010, 22:16
tigr62

Банер, winlock

Убил используя Лфйв_СД+ ДР.Веб

Не работает диспетчер задач.

AVZ что-то нашел в карантине лежат файлы

Лог Др.Веб

[QUOTE]A0023923.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0023935.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0024934.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0025936.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0025952.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0026967.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0026988.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0027006.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0028004.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
A0029004.dll C:\System Volume Information\_restore{14D078C4-9E8C-4AD1-9E56-05C047C3E9D1}\RP25 Trojan.Winlock.947 Удален.
02.tmp C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.
06.tmp C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.
tmpazbsdypyoykt.dll C:\WINDOWS\system32 Trojan.Winlock.947 Удален.
userprefs.exe C:\WINDOWS\system32 Trojan.Winlock.965 Удален.
yivnpt.dll C:\WINDOWS\system32 Win32.HLLW.Shadow.based Удален.
[/QUOTE]
27.01.2010, 11:41
tigr62

[QUOTE=tigr62;571559]
AVZ что-то нашел в карантине лежат файлы

[/QUOTE]

может выслать карантин?
27.01.2010, 12:35
DefesT

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe','');
QuarantineFile('C:\WINDOWS\System32\user32.dll','');
QuarantineFile('C:\WINDOWS\system32\userprefs.exe','');
QuarantineFile('C:\WINDOWS\system32\06.tmp','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
QuarantineFile('C:\WINDOWS\system32\Drivers\RsNTGdi.sys','');
DeleteService('iaqhgtuxw');
DeleteService('gvdzhc');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\WINDOWS\system32\06.tmp');
DeleteFile('C:\WINDOWS\system32\userprefs.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Сделайте новые логи по правилам + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
27.01.2010, 13:07
tigr62

[QUOTE=DefesT;571968]Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR=DarkRed][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Сделайте новые логи по правилам + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL][/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] "вылетает" с ошибкой
При при попытке запустить IE комп перезагружается

Диспетчер задач заработал.
27.01.2010, 19:15
tigr62

Скачал [B]gmer [/B] в другом месте, результат тот же - ошибка при запуске.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 10 минут[/I][/B][/color][/size]

Удалил "куки" и обнулил кеш в IE комп больше не перезагружается.
В логах чисто?
27.01.2010, 20:18
DefesT

Попробуйте запустить gmer в безопасном режиме
27.01.2010, 20:30
tigr62

[QUOTE=DefesT;572458]Попробуйте запустить gmer в безопасном режиме[/QUOTE]
Точно такая же ошибка.
27.01.2010, 22:05
tigr62

Почистил надстройки IE, запустил его и сделал лог AVZ/

gmer не запускается
28.01.2010, 13:18
tigr62

подозрительный файлик - Vax347b.sys в папке system32\Drivers

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 39 минут[/I][/B][/color][/size]

[QUOTE=tigr62;572795]подозрительный файлик - Vax347b.sys в папке system32\Drivers[/QUOTE]
Всё чисто?
Система вроде работает стабильно.
Попробую обновить ось и установить пробную версию Eset Smart
28.01.2010, 13:46
tigr62

ПОПЫТАЛСя обновить ось при установки обновления [B]KB898461[/B] ошибка (см. 0скрииншот)
28.01.2010, 16:29
tigr62

Запустил проверку Dr. Web CureIt! и обнаружил что в одновременно запускаются два "ехешника" - k8un7xp.exe (99% памяти кушает) и 3fsw6q.exe , а сама утилита не запускается - виси в виде заставки.
28.01.2010, 16:43
pig

k8un7xp.exe - это собственно сканер. Переключиться на него через Alt+Tab не получается?
28.01.2010, 19:46
tigr62

[QUOTE=pig;573166]k8un7xp.exe - это собственно сканер. Переключиться на него через Alt+Tab не получается?[/QUOTE]
Нет, от него только заставка. :Ждал минут 20.
Попытался запустить Лайв_Касперского, он сутки назад у меня загружался, проссто базы не мог обновить и я не стал его и использовать, убил Winlock другим способом. А сейчас он на самом последнем этапе -загрузка графики и стола зависает и уходит на перезагрузку.

Я два часа назад чистил AVPTool он нашел в папке [I]"Документэндсетинг/Vadim"[/I] файл [B]Vadim.exe[/B] - [I][B]win32.VB.axb[/B][/I] и убил его/
Может мне убить папку Касперского в [I]Документэндсетинг[/I] которую AVPTool создал? Тогда запустится Лайв_Касперского?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 27 минут[/I][/B][/color][/size]

убил папку Касперского в Документэндсетинг которую AVPTool создал и Лайв_Касперский запустился, обновил базы и проверил диск С - ничего не нашел.

[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]

[QUOTE=pig;573166]k8un7xp.exe - это собственно сканер. Переключиться на него через Alt+Tab не получается?[/QUOTE]
А вот это тогда что - [B]3fsw6q.exe[/B] тоже запускается вместе с CureIt!
29.01.2010, 04:42
pig

[QUOTE='tigr62;573220']А вот это тогда что - [B]3fsw6q.exe[/B] тоже запускается вместе с CureIt![/QUOTE]
Вот это:
[QUOTE='tigr62;573220']от него только заставка[/QUOTE]
30.01.2010, 04:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]