вирусы

Printable View

31.07.2010, 11:28
steel-prom

вирусы

выкладываю логи (стал тупить комп)
31.07.2010, 11:33
steel-prom

выполню скрипт

[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);

QuarantineFile('C:\WINDOWS\ShellNew\bronstab.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Шаблоны\WowTumpeh.com','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\drwuninst.exe','');
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\PROGRA~1\DRWEBA~1\spidernt.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('Rdsvcin.sys','');
QuarantineFile('Dhcmsume.sys','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
DeleteFile('C:\PROGRA~1\DRWEBA~1\spidernt.exe');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\drwuninst.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Шаблоны\WowTumpeh.com');
DeleteFile('C:\WINDOWS\ShellNew\bronstab.exe');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'Bron-Spizaetus');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'userini');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'Tok-Cirrhatus');

BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

и пофиксить:

[CODE]R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files\Get-Styles 2.0\utils\updatebho.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Pivim Multibar\pivim.dll (file missing)
O3 - Toolbar: Pivim Multibar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Pivim Multibar\pivim.dll (file missing)
O3 - Toolbar: Get-Styles Toolbar - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - C:\Program Files\Get-Styles 2.0\ie\toolbar.dll (file missing)
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Пользователь\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
[/CODE]
31.07.2010, 11:34
AndreyKa

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
DeleteService('Dhcmsume');
DeleteService('Rdsvcin');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\obvious');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\obvious\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\obvious\enum');
end.[/code]
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[QUOTE='steel-prom;679621']стал тупить комп[/QUOTE]Не удивительно:
Windows XP SP2
Acrobat 6.0 Reader
31.07.2010, 11:44
steel-prom

карантин посмотрите))))
Файл сохранён как 100731_114248_virus_4c53d3f847b70.zip
Размер файла 5293
MD5 141c35811f3d918352293717a89226c3

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

[QUOTE=AndreyKa;679629]

Не удивительно:
Windows XP SP2
Acrobat 6.0 Reader[/QUOTE]

этим сейчас и займемся тоже :D
31.07.2010, 11:46
steel-prom

лог Хиджака
31.07.2010, 11:50
AndreyKa

В карантине пусто.
Я хотел взглянуть на virusinfo_syscheck.zip.
31.07.2010, 12:01
steel-prom

логи
31.07.2010, 12:05
steel-prom

Dhcmsume.sys и Rdsvcin.sys легитимные (нормальные)?
31.07.2010, 12:24
AndreyKa

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
DeleteFile('C:\WINDOWS\tasks\At1.job');
DeleteFile('C:\WINDOWS\tasks\Uninstall Dr.Web Antivirus.job');
BC_DeleteSvc('Dhcmsume');
BC_DeleteSvc('Rdsvcin');
BC_Activate;
end.[/code]

Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

[QUOTE='steel-prom;679660']Dhcmsume.sys и Rdsvcin.sys легитимные [/QUOTE]Это отстатки в реестре от трояна.
31.07.2010, 12:28
steel-prom

ок, спасибо, тему закрываем
01.08.2010, 12:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]