После тестирования компьютера программой AVZ обнаружил программу-перехватчик + периодически выбивает ошибку svchost.exe - ошибка приложения.
Заранее благодарю за помощь!
Printable View
После тестирования компьютера программой AVZ обнаружил программу-перехватчик + периодически выбивает ошибку svchost.exe - ошибка приложения.
Заранее благодарю за помощь!
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8993852586-7492720604-640548022-6693\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\quami.exe','');
DeleteService('nuzee3ea5eaaeaeo');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touquyg.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touquyg.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\quami.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wequam');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wequam');
DeleteFile('C:\RECYCLER\S-1-5-21-8993852586-7492720604-640548022-6693\yv8g67.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2732846076-3158358968-296103314-4193\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\juzjf.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\juzjf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2732846076-3158358968-296103314-4193\yv8g67.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
Залил файл по ссылке(Файл сохранён как 110130_003522_quarantine_4d44881a6a22f.zip )
Сделал скан ГМЕР
Сделайте лог [url]http://support.kaspersky.ru/faq/?qid=208639606[/url]
готово
Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]tnbbuwob[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.
Сохраните [B]html-лог[/B] работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\tnbbuwob.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\tnbbuwob.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tnbbuwob');
BC_DeleteSvcReg('tnbbuwob');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
сделал...
скинул карантин по ссылке вверху(110130_022916_quarantine_4d44a2cca2382.zip)...
Придраться не к чему. Проблема решена?
пока вроде бы ничего не замечал плохого, но есть один вопрос на счёт таких вот строчек в авз:
[CODE]Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (80572EAD->F83C80E0), перехватчик sphj.sys
Функция NtEnumerateKey (47) перехвачена (805735B4->F83E6CA2), перехватчик sphj.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066D->F83E7030), перехватчик sphj.sys
Функция NtOpenKey (77) перехвачена (80568EF9->F83C80C0), перехватчик sphj.sys
Функция NtQueryKey (A0) перехвачена (805732BD->F83E7108), перехватчик sphj.sys
Функция NtQueryValueKey (B1) перехвачена (8056A391->F83E6F88), перехватчик sphj.sys
Функция NtSetValueKey (F7) перехвачена (80579A53->F83E719A), перехватчик sphj.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
\FileSystem\ntfs[IRP_MJ_CREATE] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823701F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 823701F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 81FBE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 81FBE500 -> перехватчик не определен
Проверка завершена
[/CODE]
Также tdsskiller ругаетcя на файл system32/Drivers/sptd.sys
Я пока действие пропустил... или стоило его удалить. Слышал вродебы, если его удалить, то комп после ребута накроется.
[B]sptd.sys[/B] - драйвер эмулятора CD, модули [B]sp??.sys[/B] тоже его.
Ничего плохого у вас не видно.
Ну, тогда спасибо всем за помощь ребята))
Всем выражаю свою глубокую благодарность за помощь в решении проблемы)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\application data\\microsoft\\quami.exe - [B]Trojan-Dropper.Win32.VB.atlx[/B] ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6525295, NOD32: Win32/TrojanDownloader.Agent.QNN trojan, AVAST4: Win32:VBCrypt-YI [Trj] )[*] c:\\documents and settings\\администратор\\application data\\juzjf.exe - [B]Trojan-Dropper.Win32.VB.atnd[/B] ( DrWEB: Trojan.Inject.20212, BitDefender: Trojan.Generic.6888593, NOD32: Win32/Bflient.K worm, AVAST4: Win32:VBCrypt-YI [Trj] )[*] c:\\documents and settings\\администратор\\application data\\nsvb.exe - [B]Trojan-GameThief.Win32.OnLineGames.xnja[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.111129, AVAST4: Win32:VBCrypt-YI [Trj] )[*] c:\\recycler\\s-1-5-21-2732846076-3158358968-296103314-4193\\yv8g67.exe - [B]P2P-Worm.Win32.Palevo.bqre[/B] ( DrWEB: Trojan.Inject.20892, BitDefender: Worm.Generic.354257, AVAST4: Win32:VB-YLY [Trj] )[*] c:\\recycler\\s-1-5-21-8993852586-7492720604-640548022-6693\\yv8g67.exe - [B]P2P-Worm.Win32.Palevo.bqre[/B] ( DrWEB: Trojan.Inject.20892, BitDefender: Worm.Generic.354257, AVAST4: Win32:VB-YLY [Trj] )[/LIST][/LIST]