Вирус

Printable View

Показывать 40 сообщений этой темы на одной странице

15.04.2010, 17:59
Tr1ck

Вирус

syre32.exe
umdmgr.exe
16.04.2010, 00:48
DefesT

[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)[/CODE]

Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
TerminateProcessByName('c:\windows\system32\syre32.exe');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
QuarantineFile('C:\WINDOWS\ndll.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4317699004-3426768726-776797437-9223\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\system32\wbem\wmiprvse.exe','');
QuarantineFile('c:\windows\system32\umdmgr.exe','');
QuarantineFile('c:\windows\system32\syre32.exe','');
DeleteFile('c:\windows\system32\syre32.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4317699004-3426768726-776797437-9223\wmfcgr.exe');
DeleteFile('C:\WINDOWS\ndll.exe');
DeleteFile('C:\WINDOWS\system32\syre32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cddov');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','165');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','204');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','046');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','719');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','368');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','560');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','408');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','coF2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','177');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','770');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteWizard('TSW',2,2,true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
16.04.2010, 08:41
Tr1ck

Получили?
16.04.2010, 08:57
polword

[QUOTE=Tr1ck;622716]Получили?[/QUOTE]
да

[QUOTE=DefesT;622600]Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)[/QUOTE]
делайте...
16.04.2010, 15:36
Tr1ck

[QUOTE=polword;622727]да

делайте...[/QUOTE]
Я же сделал....
16.04.2010, 15:47
thyrex

После выполнения скрипта новые логи делали? Если нет, тогда приступайте
16.04.2010, 15:52
Tr1ck

[QUOTE=thyrex;622959]После выполнения скрипта новые логи делали? Если нет, тогда приступайте[/QUOTE]
Да сделал уже!!!
16.04.2010, 16:00
thyrex

Выкладывать нужно в новое сообщение, а не заменять в первом

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\WINDOWS\system32\smlogsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\shmgrate.exe','');
QuarantineFile('C:\WINDOWS\system32\rdpclip.exe','');
QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\eu\EasyAntiCheat.exe:Zone.Identifier:$DATA','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\StrongDC-v2.30.exe:Zone.Identifier:$DATA','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\audacity-win-1.2.6.exe:Zone.Identifier:$DATA','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\ApexDC++_1.3.0_setup.exe:Zone.Identifier:$DATA','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
16.04.2010, 18:36
Tr1ck

вот
16.04.2010, 21:44
thyrex

[CODE]C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\progman.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\shmgrate.exe
C:\WINDOWS\system32\smlogsvc.exe[/CODE]Замените чистыми с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\eu\EasyAntiCheat.exe:Zone.Identifier:$DATA');
DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\StrongDC-v2.30.exe:Zone.Identifier:$DATA');
DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\audacity-win-1.2.6.exe:Zone.Identifier:$DATA');
DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\ApexDC++_1.3.0_setup.exe:Zone.Identifier:$DATA');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи
17.04.2010, 01:24
Tr1ck

ещё
17.04.2010, 08:38
thyrex

Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
17.04.2010, 11:55
Tr1ck

[QUOTE=thyrex;623321]Сделайте такой лог [URL]http://virusinfo.info/showpost.php?p=493610&postcount=1[/URL][/QUOTE]
вот
17.04.2010, 12:20
thyrex

[QUOTE]c:\windows\system32\clipsrv.exe . . . is infected!!
c:\windows\system32\ipsec6.exe . . . is infected!!
c:\windows\system32\napstat.exe . . . is infected!!
c:\windows\system32\powercfg.exe . . . is infected!!
c:\windows\system32\proquota.exe . . . is missing!!
c:\windows\System32\srsvc.dll ... is missing !!
c:\windows\System32\wscntfy.exe ... is missing !!
c:\windows\System32\regsvc.dll ... is missing !!
c:\windows\System32\schedsvc.dll ... is missing !![/QUOTE]Все эти файлы нужно восстановить или заменить с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\ndll2.exe
c:\documents and settings\Администратор\cddov.bat
c:\documents and settings\Администратор\cvddov.exe
c:\documents and settings\Администратор\coF2.bat

Driver::
zcxebzjz

NetSvc::
zcxebzjz
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9704:TCP"=-

FileLook::
c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
17.04.2010, 12:41
Tr1ck

[QUOTE]c:\windows\system32\proquota.exe . . . is missing!!
c:\windows\System32\srsvc.dll ... is missing !!
c:\windows\System32\wscntfy.exe ... is missing !!
c:\windows\System32\regsvc.dll ... is missing !![/QUOTE]
Не могу найти эти файлы
17.04.2010, 12:43
thyrex

Эти файлы
[QUOTE='thyrex;623383']нужно [B]восстановить[/B] ... с дистрибутива[/QUOTE]
17.04.2010, 12:51
Tr1ck

[QUOTE=thyrex;623401]Эти файлы[/QUOTE]
В папке I386 их нету

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Предупреждение! – данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.
Нашел в интернете!
17.04.2010, 13:00
thyrex

А у Вас нужно [QUOTE='Tr1ck;623399']c:\windows\System32\regsvc.[B]dll[/B][/QUOTE]

Распакуйте файлы из вложения в папку system32
17.04.2010, 20:03
Tr1ck

лог
17.04.2010, 22:11
thyrex

[QUOTE]c:\windows\system32\clipsrv.exe . . . is infected!!
c:\windows\system32\schedsvc.dll . . . is infected!![/QUOTE]Почему их не заменили?
18.04.2010, 10:35
Tr1ck

[QUOTE=thyrex;623670]Почему их не заменили?[/QUOTE]
Заменял ! Не знаю почему они инфицированы!
18.04.2010, 11:55
thyrex

Еще раз замените и новый лог ComboFix сделайте
19.04.2010, 07:55
Tr1ck

[QUOTE=thyrex;623897]Еще раз замените и новый лог ComboFix сделайте[/QUOTE]
вот
19.04.2010, 11:55
thyrex

Распакуйте файл в папку c:\windows\system32
19.04.2010, 14:12
Tr1ck

[QUOTE=thyrex;624370]Распакуйте файл в папку c:\windows\system32[/QUOTE]
Походу эти файлы были заражены в сборке винды!
19.04.2010, 14:47
thyrex

Распакуйте файл в папку c:\windows\system32
19.04.2010, 14:59
Tr1ck

Вложений: 1

[QUOTE=thyrex;624462]Распакуйте файл в папку c:\windows\system32[/QUOTE]
Вроде чисто !
19.04.2010, 15:02
thyrex

Запакуйте, пожалуйста, папку [B]C:\Qoobox[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url]
21.04.2010, 18:33
Tr1ck

[QUOTE=thyrex;624480]Запакуйте, пожалуйста, папку [B]C:\Qoobox[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL][/QUOTE]
Получили?
21.04.2010, 20:51
thyrex

Нет. Ничего от Вас не получено
22.04.2010, 22:22
Tr1ck

[QUOTE=thyrex;625800]Нет. Ничего от Вас не получено[/QUOTE]
А теперь ?
22.04.2010, 22:41
thyrex

Ничего. Пароль не забыли установить? Адрес правильно указываете?
23.04.2010, 08:46
Tr1ck

[QUOTE=thyrex;626467]Ничего. Пароль не забыли установить? Адрес правильно указываете?[/QUOTE]
А теперь?
23.04.2010, 09:27
thyrex

Теперь вроде пришел
23.04.2010, 23:35
Tr1ck

[QUOTE=thyrex;626642]Теперь вроде пришел[/QUOTE]
сново umdmgr.exe вылез!
24.04.2010, 00:02
thyrex

Обновления на систему, вышедшие после SP3, явно не устанавливали.

Делайте новые логи.
24.04.2010, 10:40
Tr1ck

[QUOTE=thyrex;627064]Обновления на систему, вышедшие после SP3, явно не устанавливали.

Делайте новые логи.[/QUOTE]
syre32 тоже вылез
24.04.2010, 15:37
thyrex

[B]Отключите восстановление системы[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\WINDOWS\ndll.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6467654112-0933201672-631333285-7587\wmfcgr.exe','');
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
QuarantineFile('c:\windows\system32\umdmgr.exe','');
TerminateProcessByName('c:\windows\system32\syre32.exe');
QuarantineFile('c:\windows\system32\syre32.exe','');
DeleteFile('c:\windows\system32\syre32.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6467654112-0933201672-631333285-7587\wmfcgr.exe');
DeleteFile('C:\WINDOWS\ndll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','coF2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','covi');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','849');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
24.04.2010, 16:32
Tr1ck

Ошибка скрипта: ';' expected, позиция [21:15]
24.04.2010, 17:09
AndreyKa

Исправил скрипт.

Показывать 40 сообщений этой темы на одной странице