Сейчас гляну карантин:)
Printable View
Сейчас гляну карантин:)
Получил.
Жду с нетерпением дальнейших действий
C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll - [b]Trojan.Win32.Agent.fhg[/b]
C:\Program Files\Helper\1204217203.dll - [b]not-a-virus:AdWare.Win32.E404.a[/b]
C:\WINDOWS\System32\AcroCLinker.dll - [b]Trojan-Clicker.Win32.Agent.ny [/b]
c:\windows\shell.exe - [b]Trojan.Win32.Qhost.aes[/b]
c:\windows\system32\winlogon.exe - [b]Trojan.Win32.Patched.q[/b]
- придеться заменять из дистрибутива
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe - [b]Trojan.Win32.Qhost.aes[/b]
C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe - [b]Trojan.Win32.Qhost.aes[/b]
C:\WINDOWS\System32\printer.exe - [b]Trojan.Win32.Qhost.aes[/b]
C:\WINDOWS\System32\spoolvs.exe - [b]Trojan.Win32.Qhost.aes[/b]
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\netrfds364.exe','');
DeleteFile('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\WINDOWS\System32\printer.exe');
DeleteFile('C:\WINDOWS\System32\spoolvs.exe');
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\AcroCLinker.dll');
DeleteFile('c:\program files\helper\1204217203.dll');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IZMJQP8X\newrt[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPELMTOP\a8f5a020e4b833865a1034489887c8b9[1].zip');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\s32[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\tor[1].exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\installer[1].exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\printer.exe');
DeleteFile('C:\Program Files\Helper\1204217203.dll');
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('C:\WINDOWS\system32\netrfds364.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DelBHO('{A1FF3ECE-0EC3-4035-A67D-726A574748B8}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18925[/url]
[quote=akoK;195325]C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll - [B]Trojan.Win32.Agent.fhg[/B]
C:\Program Files\Helper\1204217203.dll - [B]not-a-virus:AdWare.Win32.E404.a[/B]
C:\WINDOWS\System32\AcroCLinker.dll - [B]Trojan-Clicker.Win32.Agent.ny [/B]
c:\windows\shell.exe - [B]Trojan.Win32.Qhost.aes[/B]
c:\windows\system32\winlogon.exe - [B]Trojan.Win32.Patched.q[/B]
- придеться заменять из дистрибутива
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe - [B]Trojan.Win32.Qhost.aes[/B]
C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe - [B]Trojan.Win32.Qhost.aes[/B]
C:\WINDOWS\System32\printer.exe - [B]Trojan.Win32.Qhost.aes[/B]
C:\WINDOWS\System32\spoolvs.exe - [B]Trojan.Win32.Qhost.aes[/B][/quote]
А что делать с этими файлами?
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: CLinkerBHO Class - {A1FF3ECE-0EC3-4035-A67D-726A574748B8} - C:\WINDOWS\System32\AcroCLinker.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B8622FF} - C:\Program Files\Helper\1204217203.dll
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\printer.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe
O4 - Startup: findfast.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=asale;195327]А что делать с этими файлами?[/QUOTE]
Ничего, это для индексации поисковиками.
Кроме
c:\windows\system32\winlogon.exe - [B]Trojan.Win32.Patched.q[/B]
- придеться заменять из дистрибутива или вылечить(мой KIS вылечил)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Да повторите логи [b]virusinfo_syscure [/b]обязательно(очень помог почистить:))
[quote=akoK;195328]Пофиксить в HijackThis следующие строчки
Кроме
c:\windows\system32\winlogon.exe - [B]Trojan.Win32.Patched.q[/B]
- придеться заменять из дистрибутива или вылечить(мой KIS вылечил)
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Да повторите логи [B]virusinfo_syscure [/B]обязательно(очень помог почистить:))[/quote]
А как попробовать вылечить?
Корректнее заменить из установочного диска...найти winlogon.ex_ заменить _ на е и в безопасном режиме подсунуть вместо зараженного
Или, выполнить команду (пуск - выполнить) - sfc /scannow - обязателен установочный диск
А что такое KIS и как с помощью его вылечить?
[url]http://www.kaspersky.ru/trials?chapter=186545270[/url]
Новый лог во вложении.
Что можно еще сделать?
Нет, далеко не в порядке.
1. Скачайте [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] - он и без КИСа сможет вылечить winlogon... Но пока не запускайте
2. Отключаемся от сети
3. [URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачайте [/URL] .... меню File - файл C:\WINDOWS\System32\Drivers\Yhn45.sys -force delete ...
затем выполните скрипт авз ...
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
DelCLSID('B33DE756-DEEE-4D7A-87DB-1D905BA2AA21');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IZMJQP8X\newrt[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPELMTOP\a8f5a020e4b833865a1034489887c8b9[1].zip');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\s32[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\tor[1].exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\installer[1].exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\printer.exe');
DeleteFile('C:\Program Files\Helper\1204217203.dll');
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\netrfds364.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('C:\Program Files\SanitarDiska\secure_del.dll');
BC_ImportDeletedList;
BC_DeleteSvc('symavc32');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Yhn45');
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/code]
4. Очистьте временные файлы IE
5. Сделайте проверку скачанным AVPTool - долечится и winlogon.exe
6. Повторите лог syscure
PS:
А вот и причина всего:
[code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]
Не система, а дыра...
Новый лог.
Есть что-нибудь из хороших новостей?
По поводу winlogon появлятся информация, что файл будет вылечен при перезагрузке компа, перезагружаю, проверяю - таже информация. Он вылечен?
ICE Swordom удалить ... C:\WINDOWS\System32\drivers\Ygc62.sys
пофиксите ...
[code]
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/code]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Ygc62.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
Новые логи.
Немного лучше?
нет не лучше ... вы Ygc62.sys удалили ? - нет ... также [B]нужно удалить ICE Swordom[/B] C:\WINDOWS\SYSTEM32\WLCtrl32.dll
У меня пропал пункт удаление программ: если по ссылке из справки появляется надписьм- операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети
вернем потом... ice sword-ом удалите, что нужно
[quote=V_Bond;195371]нет не лучше ... вы Ygc62.sys удалили ? - нет ... также [B]нужно удалить ICE Swordom[/B] C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/quote]
Извиняюсь, удалил, новые логи.\
А сейчас как?
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Ygc62.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Ygc62');
ExecuteSysClean;
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Лог virusinfo_syscure повторите...
Новые логи во вложении