Добрый день. С компа идёт рассылка спама. Логи и карантин выкладываю.
Printable View
Добрый день. С компа идёт рассылка спама. Логи и карантин выкладываю.
Отключите восстановление системы.
Выполните в АВЗ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\.//..//win.exe','');
QuarantineFile('c:\program files\common files\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tyh56.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('MSWin--1006534185.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\System\vd3_sys.dat','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Tyh56.sys');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Tyh56');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин согласно приложения 3 правил...
Повторите логи.
@wise-wistful
Парочку строчек добавь в скрипт:
[CODE]QuarantineFile('MSWin--1006534185.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\System\vd3_sys.dat','');[/CODE]
@PavelA добавил.
отправил
Скачиваем [url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
Запускаем, ищем 'C:\WINDOWS\system32\WLCtrl32.dll', нажимаем force delete, подтверждаем Ок
Тоже самое для 'C:\WINDOWS\System32\Drivers\Tyh56.sys' и
'C:\WINDOWS\System32\Drivers\Too41.sys'
удалил все, кроме C:\WINDOWS\System32\Drivers\Tyh56.sys - нет в исходной директории. Возможно скрытый от API Windows? Поместить в карантин с помощью avz также не удалось.
Сделайте новый комплект логов.
готово
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Too41.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('Too41');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Поищите при помощи АВЗ сервис--поиск файлов на диске vd3_sys.dat, c:\program files\common files\system\svchost.exe, 1006534185.exe и 1.exe. Пришлите их согласно приложения 2 правил.
Поищите через AVZ то, что не попало в карантин.
MSWin--1006534185.exe
1.exe - переименованный Хиджак, наверное.
[QUOTE=wise-wistful;212731]1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Too41.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('Too41');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Поищите при помощи АВЗ сервис--поиск файлов на диске vd3_sys.dat, c:\program files\common files\system\svchost.exe, 1006534185.exe и 1.exe. Пришлите их согласно приложения 2 правил.[/QUOTE]
Too41.sys и WLCtrl32.dll - были удалены IceSword, сейчас их в системе нет. 1.exe это скачанный по ссылке IceSword.
Остальные файлы находятся, но в карантин не помещаются. avz выдаёт ошибку.
Дополнительная информация - в качестве антивируса стоял NOD32 - оказался заражён. Стормозил, сразу не проверил, сорри. И службы потенциально опасные все были запущены - хотя пару месяцев назад сам всё отключал. Всё отключил.
[QUOTE=turtle;212767]
NOD32 - оказался заражён. ...[/QUOTE]
это как ? у вас был файловый вирус ?
сделайте новый комплект логов ....
[QUOTE=PavelA;212732]Поищите через AVZ то, что не попало в карантин.
MSWin--1006534185.exe
1.exe - переименованный Хиджак, наверное.[/QUOTE]
1006534185.exe - поиском файлов АВЗ его не находит. Добавлением в карантин по списку - Ошибка карантина файла, попытка прямого чтения (1006534185.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\1006534185.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\1006534185.exe)
Карантин с использованием прямого чтения - ошибка
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
[QUOTE=V_Bond;212769]это как ? у вас был файловый вирус ?
сделайте новый комплект логов ....[/QUOTE]
Определил визуально - зашёл в папку C:\Program Files\ESET\cashe обнаружил кроме файла cashe.ndb файлы с таким же именем и другими расширениями (cashe.nd1 и т.д.). CureIt всегда в таких случаях определяет их как вирусы. NOD деинсталлировал ещё после выполнения первого скрипта.
vd3_sys.dat - удалил CureIt (Trojan.Downloader)
Модифицирован ключ запуска проводника - с этим что делать? Мастер устранения проблем не помог. FileptcIconOverlay.dll - чистая, я так понимаю?
Логи обновил.
Спам не рассылается теперь.
Профиксить:
[CODE]O4 - Startup: MSWin--1006534185.exe
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\[/CODE]
Пофиксил, лечение можно считать успешным?
Да;)
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Всем огромное спасибо. Мнение по ресурсу обязательно отпишу.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\рабочий стол\\.//..//win.exe - [B]Trojan-Downloader.Win32.Mutant.cy[/B] (DrWEB: Trojan.DownLoader.49586)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.fe[/B] (DrWEB: Trojan.DownLoader.54123)[/LIST][/LIST]