Добрый день. Никак не могу убить трояны, т.к. они постоянно восстанавливаются. Cureit находит Trojan.Packed.20385 Trojan.MultiDrop1.17819 И Tool.SMSSend.9
Логи прилагаю. Спасибо заранее.
Printable View
Добрый день. Никак не могу убить трояны, т.к. они постоянно восстанавливаются. Cureit находит Trojan.Packed.20385 Trojan.MultiDrop1.17819 И Tool.SMSSend.9
Логи прилагаю. Спасибо заранее.
[B]Пофиксите в hijackthis:[/B]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\d69c0346.exe,\\?\globalroot\systemroot\system32\oxgvzBa.exe,\\?\globalroot\systemroot\system32\4852Jt9.exe,\\?\globalroot\systemroot\system32\PszBFMa.exe,\\?\globalroot\systemroot\system32\t3WmJQd.exe,\\?\globalroot\systemroot\system32\kwoSufs.exe,\\?\globalroot\systemroot\system32\4Hyis7i.exe,\\?\globalroot\systemroot\system32\TnbwEBh.exe,\\?\globalroot\systemroot\system32\j5rpSet.exe,\\?\globalroot\systemroot\system32\GV6kkF5.exe,\\?\globalroot\systemroot\system32\SItFv5x.exe,\\?\globalroot\systemroot\system32\lifNIiL.exe,\\?\globalroot\systemroot\system32\pzxbk2A.exe,\\?\globalroot\systemroot\system32\kvg8esO.exe,\\?\globalroot\systemroot\system32\s8p3JLS.exe,\\?\globalroot\systemroot\system32\rIiO0kx.exe,\\?\globalroot\systemroot\system32\jaFQ6nA.exe,\\?\globalroot\systemroot\system32\QL9lgBc.exe,\\?\globalroot\systemroot\system32\BlriUas.exe,\\?\globalroot\systemroot\system32\7ZN523M.exe,\\?\globalroot\systemroot\system32\[/CODE]
[B]Выполните скрипт в AVZ:[/B]
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\focusmouses.dll','');
QuarantineFile('C:\WINDOWS\system32\t3WmJQd.exe','');
QuarantineFile('C:\WINDOWS\system32\s8p3JLS.exe','');
QuarantineFile('C:\WINDOWS\system32\rIiO0kx.exe','');
QuarantineFile('C:\WINDOWS\system32\pzxbk2A.exe','');
QuarantineFile('C:\WINDOWS\system32\oxgvzBa.exe','');
QuarantineFile('C:\WINDOWS\system32\lifNIiL.exe','');
QuarantineFile('C:\WINDOWS\system32\kwoSufs.exe','');
QuarantineFile('C:\WINDOWS\system32\kvg8esO.exe','');
QuarantineFile('C:\WINDOWS\system32\jaFQ6nA.exe','');
QuarantineFile('C:\WINDOWS\system32\j5rpSet.exe','');
QuarantineFile('C:\WINDOWS\system32\hp6ns0n.exe','');
QuarantineFile('C:\WINDOWS\system32\TnbwEBh.exe','');
QuarantineFile('C:\WINDOWS\system32\SItFv5x.exe','');
QuarantineFile('C:\WINDOWS\system32\PszBFMa.exe','');
QuarantineFile('C:\WINDOWS\system32\QL9lgBc.exe','');
QuarantineFile('C:\WINDOWS\system32\GV6kkF5.exe','');
QuarantineFile('C:\WINDOWS\system32\BlriUas.exe','');
QuarantineFile('C:\WINDOWS\system32\7ZN523M.exe','');
QuarantineFile('C:\WINDOWS\system32\4Hyis7i.exe','');
QuarantineFile('C:\WINDOWS\system32\4852Jt9.exe','');
QuarantineFile('C:\WINDOWS\system32\12ss1pz.exe','');
QuarantineFile('C:\WINDOWS\system32\d69c0346.exe','');
DeleteFile('C:\WINDOWS\system32\d69c0346.exe');
DeleteFile('C:\WINDOWS\system32\12ss1pz.exe');
DeleteFile('C:\WINDOWS\system32\4852Jt9.exe');
DeleteFile('C:\WINDOWS\system32\4Hyis7i.exe');
DeleteFile('C:\WINDOWS\system32\7ZN523M.exe');
DeleteFile('C:\WINDOWS\system32\BlriUas.exe');
DeleteFile('C:\WINDOWS\system32\GV6kkF5.exe');
DeleteFile('C:\WINDOWS\system32\QL9lgBc.exe');
DeleteFile('C:\WINDOWS\system32\PszBFMa.exe');
DeleteFile('C:\WINDOWS\system32\SItFv5x.exe');
DeleteFile('C:\WINDOWS\system32\TnbwEBh.exe');
DeleteFile('C:\WINDOWS\system32\hp6ns0n.exe');
DeleteFile('C:\WINDOWS\system32\j5rpSet.exe');
DeleteFile('C:\WINDOWS\system32\jaFQ6nA.exe');
DeleteFile('C:\WINDOWS\system32\kvg8esO.exe');
DeleteFile('C:\WINDOWS\system32\kwoSufs.exe');
DeleteFile('C:\WINDOWS\system32\lifNIiL.exe');
DeleteFile('C:\WINDOWS\system32\oxgvzBa.exe');
DeleteFile('C:\WINDOWS\system32\pzxbk2A.exe');
DeleteFile('C:\WINDOWS\system32\rIiO0kx.exe');
DeleteFile('C:\WINDOWS\system32\s8p3JLS.exe');
DeleteFile('C:\WINDOWS\system32\t3WmJQd.exe');
DeleteFile('C:\System Volume Information\_restore{2B5854BD-1D01-4A45-BC76-2C8FB9F658FB}\RP13\A0002523.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B]Прислать запрошенный карантин[/B]" над первым сообщением темы)
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
+ Сделайте новые логи
Скрипт выполнил.Логи прилагаю.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\aTNHE3H.exe','');
QuarantineFile('C:\WINDOWS\system32\Va5ZAPm.exe','');
QuarantineFile('C:\WINDOWS\system32\FLic6H3.exe','');
QuarantineFile('C:\WINDOWS\system32\KQaHSDo.exe','');
DeleteFile('C:\WINDOWS\system32\aTNHE3H.exe');
DeleteFile('C:\WINDOWS\system32\Va5ZAPm.exe');
DeleteFile('C:\WINDOWS\system32\FLic6H3.exe');
DeleteFile('C:\WINDOWS\system32\KQaHSDo.exe');
QuarantineFile('C:\WINDOWS\system32\9bWMKDR.exe','');
QuarantineFile('C:\WINDOWS\system32\kFNUoND.exe','');
QuarantineFile('C:\WINDOWS\system32\WTLQSgo.exe','');
QuarantineFile('C:\WINDOWS\system32\TCuyRkC.exe','');
DeleteFile('C:\WINDOWS\system32\9bWMKDR.exe');
DeleteFile('C:\WINDOWS\system32\kFNUoND.exe');
DeleteFile('C:\WINDOWS\system32\WTLQSgo.exe');
DeleteFile('C:\WINDOWS\system32\TCuyRkC.exe');
QuarantineFile('C:\WINDOWS\system32\QU3I0ON.exe','');
QuarantineFile('C:\WINDOWS\system32\wzF1eDD.exe','');
QuarantineFile('C:\WINDOWS\system32\d3Wjff7.exe','');
QuarantineFile('C:\WINDOWS\system32\Cq3FJ3m.exe','');
DeleteFile('C:\WINDOWS\system32\QU3I0ON.exe');
DeleteFile('C:\WINDOWS\system32\wzF1eDD.exe');
DeleteFile('C:\WINDOWS\system32\d3Wjff7.exe');
DeleteFile('C:\WINDOWS\system32\Cq3FJ3m.exe');
QuarantineFile('C:\WINDOWS\system32\XojuiL5.exe','');
QuarantineFile('C:\WINDOWS\system32\Q3fjbFH.exe','');
QuarantineFile('C:\WINDOWS\system32\0riK3L7.exe','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\XojuiL5.exe');
DeleteFile('C:\WINDOWS\system32\Q3fjbFH.exe');
DeleteFile('C:\WINDOWS\system32\0riK3L7.exe');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
QuarantineFile('C:\WINDOWS\system32\focusmouses.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог RSIT
Выполнил.Повторный лог RSIT прилагаю.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelBHO('{24783612-0199-4A37-B205-847853E151C6}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DeleteFile('C:\WINDOWS\system32\focusmouses.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
Выполнил.Компьютер начал работать быстрее.Лог прилагаю.
Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O2 - BHO: VixD Net edt. Class - {24783612-0199-4A37-B205-847853E151C6} - C:\WINDOWS\system32\focusmouses.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: ddsntdll - ddsntdll.d (file missing)
[/CODE]
больше подозрительного нет.
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Большое спасибо за помощь
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]51[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{2b5854bd-1d01-4a45-bc76-2c8fb9f658fb}\rp13\a0002523.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GIR [Drp] )[*] c:\windows\system32\atnhe3h.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\cq3fj3m.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.PWS.Ibank.60, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\d3wjff7.exe - [B]Backdoor.Win32.Shiz.mz[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\flic6h3.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aGPIaygi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\kfnuond.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\kqahsdo.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWhAPshi, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\qu3i0on.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\q3fjbfh.exe - [B]Trojan.Win32.Jorik.Shiz.bs[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\tcuyrkc.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.PWS.Ibank.65, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\va5zapm.exe - [B]Trojan.Win32.Jorik.Shiz.ci[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gqW@aCzXN3ai )[*] c:\windows\system32\wtlqsgo.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\wzf1edd.exe - [B]Backdoor.Win32.Shiz.mz[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] c:\windows\system32\xojuil5.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\0rik3l7.exe - [B]Backdoor.Win32.Shiz.jk[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aGQxcPbi )[*] c:\windows\system32\9bwmkdr.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]