Периодически DrWeb обнаруживает создание в папке \windows\system32\drivers файлов, определяемых как зараженные DDos. PamelaCureIt! не помог. AVZ обнаружил кучу троянов.
Printable View
Периодически DrWeb обнаруживает создание в папке \windows\system32\drivers файлов, определяемых как зараженные DDos. PamelaCureIt! не помог. AVZ обнаружил кучу троянов.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Audit\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Audit\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\ialmsbw.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\ialmkchw.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll.tmp','');
DeleteFile('C:\Documents and Settings\Audit\Local Settings\Application Data\cftmon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','autoload');
DeleteFile('C:\DOCUME~1\Audit\LOCALS~1\Temp\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE] - раритет.
Давайте сначала сделаем вот так:
- SP1 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
Скрипт выполнил.
Карантин отправил.
Лог gmer прилагаю.
Проблема осталась.
DrWeb периодически сообщает:
C:\WINDOWS\system32\aioaktqc.dll - инфицирован Trojan.Siggen1.37243
По поводу раритете: я понимаю опасность дырявой версии Windows, но проблема состоит в том, что на компьютере установлены не менее раритетные бухгалтерские программы, которые в случае сбоя при обновлении системы просто НЕ ПОДЛЕЖАТ ВОССТАНОВЛЕНИЮ. Из двух бед приходится выбирать меньшую.
При создании лога gmer забыли нажать кнопку [B]Scan[/B]. Переделать
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('C:\WINDOWS\system32\aioaktqc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ntuser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Кнопку Scan нажать не забыл, просто в описании не очень корректно написано:
"отметьте галочкой только системный раздел"
вот я и снял все птички, кроме SYSTEM.
Повторно отgmer'ил по-полной, скрипт выполнил, логи прилагаю.
Проблема осталась: периодически DrWeb сигнализирует о трояне.
C:\WINDOWS\system32\aioaktqc.dll удаляйте вручную.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится qwsm562x.exe (gmer)
[CODE]qwsm562x.exe -del service krwjaqqdw
qwsm562x.exe -del file "C:\WINDOWS\System32\bguiqok.dll"
qwsm562x.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\krwjaqqdw"
qwsm562x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\krwjaqqdw"
qwsm562x.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Выполнил cleanup.bat
qwsm562x.exe -del service krwjaqqdw
DeleteService: Параметр задан неверно
qwsm562x.exe -del file "C:\WINDOWS\System32\bguiqok.dll"
Не удается найти указанный файл
qwsm562x.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\krwjaqqdw"
DeletKey: Параметр задан неверно
qwsm562x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\krwjaqqdw"
DeletKey: Параметр задан неверно
Новый лог Gmer прилагаю.
Лог в порядке. Что с проблемой?
Спасибо, помогли!
Всё ОК.
P.S. Созрел до апрейда Windows, чтобы спать спокойнее :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\aioaktqc.dll - [B]Trojan.Win32.Cosmu.yyc[/B] ( DrWEB: Trojan.Siggen1.37243, BitDefender: Gen:Trojan.Heur.PT.hq4abu270uf, AVAST4: Win32:Malware-gen )[/LIST][/LIST]