Касперски обнаружил трояны написаные в теме, лог "Сканирование системы для вирусинфо" не смог сделать так как при проверке памяти вылетает "синий экран смерти", также каспер обнаружил еще какието инвадеры и hidden-install
Касперски обнаружил трояны написаные в теме, лог "Сканирование системы для вирусинфо" не смог сделать так как при проверке памяти вылетает "синий экран смерти", также каспер обнаружил еще какието инвадеры и hidden-install
virusinfo_cure.zip из темы уберите, это карантин. Его пришлите по ссылке вверху темы "Прислать запрошенный карантин".
Прикрепите 2 лога AVZ по правилам: [url]http://virusinfo.info/showthread.php?t=1235[/url]
Сканирование avz удалось выполнить только в "безопасном режиме" виндоус, потому что при попытке запустить скрипты в нормальном режиме появлялся "синий экран смерти"
Выполните в обычном режиме:
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:WLCtrl32.dll,Fcm41.sys,Otxe64.sys,Wdi27.sys ,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Otxe64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fcm41.sys','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp srv','');
QuarantineFile('C:\WINDOWS\system32\1031z.exe','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp srv','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wdi27.sys','');
QuarantineFile('Otxe64.sys','');
QuarantineFile('Fcm41.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteService('seclogonHidServ');
DeleteService('Wdi27');
DeleteService('Otxe64');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('Fcm41.sys');
DeleteFile('Otxe64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fcm41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Otxe64.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wdi27.sys');
DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv');
DeleteFile('C:\WINDOWS\system32\1031z.exe');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('seclogonHidServ ');
BC_DeleteSvc('Wdi27 ');
BC_DeleteSvc('Otxe64 ');
BC_DeleteSvc('Fcm41 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22317[/url]
Очистите временные папки,кеш браузера и повторите логи.
"Торможение" компютера и браузера пропала, но при попытке сделать логи авз в норманом режиме виндовс появлялся "синий экран", антивирус недавно выдавал сообщение о вирусе в оперативной памяти, также сообщил о подозрении на winlogon.exe("invader"). Выкладываю повторные логи
есть подозрения что внедрился троян-даунлоадер, переодически чето качаеться с интернета
maxpaynow1.exe,vedxga1me4t1.exe,vedxg6ame4.exe-[B]Trojan-Downloader.Win32.Tibs.zl[/B]
WLCtrl32.dll-свежий
Otxe64.sys-[B]Rootkit.Win32.Agent.aih[/B]
kavir.exe-[B]Email-Worm.Win32.Zhelatin.yd[/B]
1031z.exe- [B]Backdoor.Win32.IRCBot.csn [/B]
Отключите обязательно антивирус и интернет!
Выполнять в обычном режиме.
В IceSword сделайте вот этим файликам Hnr73.sys,Xil28.sys,WLCtrl32.dll Force Delete.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('COMSysAppSQLBrowser ');
BC_QrSvc('EventlogMDM ');
BC_QrSvc('RemoteAccessRemoteAccess ');
BC_QrSvc('Tomcat5MSSQL$SQLEXPRESS ');
QuarantineFile('C:\WINDOWS\system32\drivers\Pvv59.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xil28.sys ',' ');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xei40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wdi72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pva62.sys','');
QuarantineFile('C:\WINDOWS\system32\1042e.exe','');
DeleteService('Xei40');
DeleteService('Wdi72');
DeleteService('Qwc72');
DeleteService('Pva62');
DeleteService('Lrx73');
DeleteService('Hnr73');
DeleteService('upnphostNetlogon');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Hnr73.sys');
DeleteFile('Xil28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xil28.sys');
DeleteFile('C:\WINDOWS\system32\1042e.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrx73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pva62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwc72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdi72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xei40.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Pvv59.sys');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Xei40 ');
BC_DeleteSvc('Wdi72 ');
BC_DeleteSvc('Qwc72 ');
BC_DeleteSvc('Pva62 ');
BC_DeleteSvc('Lrx73 ');
BC_DeleteSvc('Hnr73 ');
BC_DeleteSvc('upnphostNetlogon ');
BC_DeleteSvc('Xil28 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22317[/url]
Повторите логи.
Логи теперь выполнились в нормальном режиме виндос, токо заметил еще вирус при сканирование авз, вот логи
похоже что какой то троян еще качает с интернета
Второго карантина после скрипта из поста номер 7 от Вас нет. Закачайте пожалуйста.
Вы в IceSword удаляли C:\WINDOWS\system32\WLCtrl32.dll?
Да, C:\WINDOWS\system32\WLCtrl32.dll удалял айсвордом, также там был WLCtrl32.dl_ его тоже удалил, карантин закачал
У Вас куча гадости на компьютере.
Запустите IceSword, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Lrx73.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrx73.sys','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp','');
QuarantineFile('C:\WINDOWS\system32\acluizb.exe','');
QuarantineFile('C:\WINDOWS\system32\accwizh.exe','');
QuarantineFile('C:\WINDOWS\system32\aaaamonw.exe','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('Lrx73.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('Lrx73.sys');
DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv');
DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv');
DeleteFile('C:\WINDOWS\system32\aaaamonw.exe');
DeleteFile('C:\WINDOWS\system32\accwizh.exe');
DeleteFile('C:\WINDOWS\system32\acluizb.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrx73.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('RemoteAccessRemoteAccess');
BC_DeleteSvc('MDMCreativeNtLmSsp');
BC_DeleteSvc('EventlogMDM');
BC_DeleteSvc('COMSysAppSQLBrowser');
BC_DeleteSvc('CreativeNtLmSsp');
BC_DeleteSvc('MDMCreativeNtLmSspNla');
BC_DeleteSvc('USB2_04');
BC_DeleteSvc('Lrx73');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин и сделайте новые логи.
mass mail software обнаружен, еще раз пересканирую касперским с новыми базами все диски, возможно вирус спрятался где то на другом диске, кстати вопрос насчет антивируса, если есть KAV есть смысл ставить еще и КIS? последние логи прикреплены, карантин закачано
В IceSword сделайте Force Delete вот этим файлам:WLCtrl32.dll,Jpu05.sys.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Java\Tomcat-5.5\bin\tomcat5.exe','');
DeleteService('Jpu05');
DeleteFile('C:\WINDOWS\System32\drivers\Jpu05.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\acleditm.exe');
DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp srv');
DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp');
DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Jpu05 ');
BC_DeleteSvc('ERSvcwscsvc');
BC_DeleteSvc('ThemesHTTPFilter');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22317[/url]
Повторите логи.
Повторные логи, карантин закачал
Еще небольшой штрих:)
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O1 - Hosts: 89.111.185.33 seotraff.cn
O1 - Hosts: 89.111.185.33 gopanda.cn
O1 - Hosts: 213.186.126.105 gopanda.cn
O1 - Hosts: 89.111.185.33 wiz2wix.com
[/CODE]
Это ваш провайдер:
[CODE]JSC UKRTELECOM
18, Shevchenko blvd
Ukraine, Kiev[/CODE]
Если нет [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('Tomcat5MSSQL$SQLEXPRESS');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp','');
QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp srv','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузите карантин по правилам.Очистите временные папки,кеш браузера.
Карантин закачал, в папке windows\temp есть файлы типа cch~46fe28d6.htp, их было много когда троян качал с интернета, эти файлы не опасны?
очистите папку с временными файлами системы и временными интернет файлами.
Большое вам спасибо