Printable View
Подхватил вчера, главный там вроде vedx6g.... выскакивают сообщения о восстановлении системы, есть несанкционированный трафик (zone alarm не видит), томозит комп.. Купил даже PrevxCSI, он что-то лечит, но после перезагрузки все вылезает снова. И диспетчер задач блокируется.
Помогите пожалуйста.
во время составления syscheck.zip комп выключается. и файл слишком большой 1,6 мб - в приложение не влезает.
Вот файлы -
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('taskmon.sys');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\AEAudio.sys','');
BC_DeleteSvc('FastUserSwitchingCompatibilitySwPrv');
QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
BC_DeleteSvc('HTTPFilterMSDTC');
QuarantineFile('C:\WINDOWS\system32\algj.exe','');
BC_DeleteSvc('Netdf2cir');
QuarantineFile('Netdf2cir.sys','');
BC_DeleteSvc('TrkWksDnscache');
QuarantineFile('C:\WINDOWS\system32\aaaamonk.exe','');
BC_DeleteSvc('ShellHWDetectionwinmgmt');
QuarantineFile('C:\WINDOWS\system32\12520437g.exe','');
BC_DeleteSvc('lanmanserverMSIServer');
QuarantineFile('C:\WINDOWS\system32\12520850x.exe','');
QuarantineFile('c:\windows\system32\wind32.exe','');
QuarantineFile('c:\docume~1\1\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\vedxg6ame4.exe','');
QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
QuarantineFile('c:\windows\kavir.exe','');
QuarantineFile('c:\windows\system32\dllgh8jkd1q7.exe','');
QuarantineFile('c:\windows\system32\dllgh8jkd1q6.exe','');
DeleteFile('c:\windows\system32\dllgh8jkd1q6.exe');
DeleteFile('c:\windows\system32\dllgh8jkd1q7.exe');
DeleteFile('c:\windows\kavir.exe');
DeleteFile('c:\windows\system32\maxpaynow1.exe');
DeleteFile('c:\docume~1\1\locals~1\temp\winlogon.exe');
DeleteFile('c:\windows\system32\wind32.exe');
DeleteFile('C:\WINDOWS\system32\12520850x.exe');
DeleteFile('C:\WINDOWS\system32\12520437g.exe');
DeleteFile('C:\WINDOWS\system32\aaaamonk.exe');
DeleteFile('Netdf2cir.sys');
DeleteFile('C:\WINDOWS\system32\algj.exe');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Хороший набор:)
access[1].htm_ - [B]not-a-virus:Рorn-Dialer.Win32.GBDialer.j[/B]
actmoviet.exe_ - [B]Backdoor.Win32.IRCBot.clv[/B]
dllgh8jkd1q6.exe_,dllgh8jkd1q7.exe_ - [B]Trojan.Win32.Pakes.cqh[/B]
kavir.exe_ - [B]Email-Worm.Win32.Zhelatin.xh[/B]
maxpaynow1.exe_ -[B] Trojan-Downloader.Win32.Tibs.yj[/B]
vedxg6ame4.exe_ - [B]Packed.Win32.Tibs.im[/B]
wind32.exe_ -[B] Trojan-Downloader.Win32.Tibs.yh[/B]
winlogon.exe_ - [B]SpamTool.Win32.Agent.hn[/B]
вот попал.... доктор, пациент будет жить?
скрипт выполнил. логи прилагаю.
что делать дальше?
Жить будет;)
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O4 - HKLM\..\Run: [SystemDrive] C:\WINDOWS\system32\maxpaynow1.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\1\locals~1\temp\winlogon.exe');
TerminateProcessByName('c:\windows\system32\vedxg6ame4.exe');
QuarantineFile('C:\WINDOWS\System32\drivers\Amk57.sys','');
QuarantineFile('C:\WINDOWS\system32\1025x.exe','');
DeleteService('Amk57');
DeleteService('PlugPlaySwPrv');
DeleteFile('c:\windows\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\1025x.exe');
DeleteFile('c:\docume~1\1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Amk57.sys');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\6P89SBCD\access[1].htm');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\6P89SBCD\access[2].htm');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\O3QTIT89\access[1].htm');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Amk57 ');
BC_DeleteSvc('PlugPlaySwPrv ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21422[/url]
Повторите логи.Очистите временные Интернет папки.
все сделал, карантин отправил
вот логи
появилась новая проблема - как только подключаюсь к инету от меня начинается исходящий трафик "чего-то" и "кому-то" на максимальной скорости. это пройдет?
Пока лечим одно,загружается другое:)
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ynd18.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Qtl03.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteService('Ynd18');
DeleteService('Qtl03');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Qtl03.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ynd18.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Ynd18 ');
BC_DeleteSvc('Qtl03 ');
BC_Activate;
RebootWindows(true);
end. [/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21422[/url]
Повторите логи.
[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]
Карантин после скрипта из поста №5:
1025x.exe_ - [B]Backdoor.Win32.IRCBot.clv[/B]
Amk57.sys - [B]Trojan-Downloader.Win32.Agent.lxa[/B]
winmn[1].exe_ - [B]Trojan-Dropper.Win32.Small.bkn[/B]
скрипт выполнил
утечка "чего-то" по исходящему трафику сохраняется. Приходится отключаться и отправлять файлы с другого компа.
вот логи.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Wjh66');
DeleteFile('C:\WINDOWS\System32\drivers\Wjh66.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Wjh66 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится,трафик должен нормализоваться.Повторите логи.
[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]
Карантин:
Ynd18.sys - [B]Trojan-Downloader.Win32.Agent.lxa[/B](удален)
WLCtrl32.dll - [B]Trojan-Downloader.Win32.Mutant.iz[/B](удален)
пофиксил, перезагрузилось, увы проблема с уходящим трафиком осталась - утекает со страшной скоростью. ничего не дает делать в сети (на этот сайт хожу с ноутбука).
логи повторил
на всякий случай свежий карантин тоже отправляю.
выполните скрипт ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\be4e30.msi','');
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_SetupPPC.exe','');
QuarantineFile('C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe','');
QuarantineFile('C:\WINDOWS\system32\activedsh.exe','');
QuarantineFile('C:\WINDOWS\system32\acleditu.exe','');
QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
QuarantineFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe','');
QuarantineFile('C:\WINDOWS\system32\ahuip.exe','');
QuarantineFile('C:\WINDOWS\system32\algk.exe','');
QuarantineFile('C:\WINDOWS\system32\adsnwm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
скрипт выполнил. перезагрузился. сделал архив карантина и отправил.
проблема с уходящим трафиком пока есть.
activedsh.exe,acleditu.exe,ahuip.exe,algk.exe,adsnwm.exe-[B]Backdoor.Win32.IRCBot.clv[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WmiApSrvFastUserSwitchingCompatibilitySwPrv');
DeleteService('winmgmtbtwdins');
DeleteService('WebClientSamSs');
DeleteService('VSSDnscache');
DeleteService('SamSsSwPrv');
DeleteFile('C:\WINDOWS\system32\activedsh.exe');
DeleteFile('C:\WINDOWS\system32\acleditu.exe');
DeleteFile('C:\WINDOWS\system32\ahuip.exe');
DeleteFile('C:\WINDOWS\system32\adsnwm.exe');
DeleteFile('C:\WINDOWS\system32\algk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('WmiApSrvFastUserSwitchingCompatibilitySwPrv ');
BC_DeleteSvc('winmgmtbtwdins ');
BC_DeleteSvc('WebClientSamSs ');
BC_DeleteSvc('VSSDnscache ');
BC_DeleteSvc('SamSsSwPrv ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Вот этот файлик [B]acluio.exe[/B] пришлите согласно приложению 2 правил.
Логи повторите.
скрипт сделал, логи посылаю.
файла [B]acluio [/B]ни с каким расширением нет ни в папке sys32 ни в других папках на компе нет! я хорошо искал.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe','');
QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
DeleteService('W32TimeRSVP');
DeleteService('VSSDnscache');
DeleteFile('C:\WINDOWS\system32\acluio.exe');
DeleteFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('W32TimeRSVP ');
BC_DeleteSvc('VSSDnscache ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Если попадут в карантин пришлите по правилам.
Логи повторите.
ура! есть прогресс - нет утечки по трафику, могу ходить в интернет.
скрипт сделал. логи посылаю. в карантин что-то попало, так что тоже посылаю. победа близка? спасибо.
В карантин они конечно же не попали,в логах чисто,жалобы есть?
жалоб нет! спасибо огромное Григорий и V_Bond!!!!! (смайлик бы вам с кружкой пива!)
буду ставить хороший большой файервол. не порекомендуете?
Выбирайте на свой вкус и цвет :) [url]http://virusinfo.info/forumdisplay.php?f=40[/url]
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать[URL="http://security-advisory.virusinfo.info/"] электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Из платных Outpost из бесплатных Comodo ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]75[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\1\\local settings\\temporary internet files\\content.ie5\\kfatojwr\\winmn[1].exe - [B]Trojan-Dropper.Win32.Small.bkn[/B] (DrWEB: Trojan.DownLoader.62349)[*] c:\\documents and settings\\1\\local settings\\temporary internet files\\content.ie5\\6p89sbcd\\access[1].htm - [B]not-a-virus:Porn-Dialer.Win32.GBDialer.j[/B] (DrWEB: Dialer.Maxd)[*] c:\\docume~1\\1\\locals~1\\temp\\winlogon.exe - [B]Trojan-Mailfinder.Win32.Agent.hn[/B] (DrWEB: Trojan.Spambot.3153)[*] c:\\windows\\kavir.exe - [B]Email-Worm.Win32.Zhelatin.xh[/B] (DrWEB: Trojan.Packed.431)[*] c:\\windows\\system32\\acleditu.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\activedsh.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\actmoviet.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\adsnwm.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\ahuip.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\algk.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[*] c:\\windows\\system32\\dllgh8jkd1q6.exe - [B]Trojan.Win32.Pakes.cqh[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\dllgh8jkd1q7.exe - [B]Trojan.Win32.Pakes.cqh[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\drivers\\amk57.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.DownLoader.50037)[*] c:\\windows\\system32\\drivers\\qtl03.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.DownLoader.50037)[*] c:\\windows\\system32\\drivers\\ynd18.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.DownLoader.50037)[*] c:\\windows\\system32\\maxpaynow1.exe - [B]Trojan-Downloader.Win32.Tibs.yj[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\vedxg6ame4.exe - [B]Trojan.Win32.Pakes.cqh[/B] (DrWEB: Trojan.DownLoader.38034)[*] c:\\windows\\system32\\wind32.exe - [B]Trojan-Downloader.Win32.Tibs.yh[/B] (DrWEB: Trojan.Packed.429)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.iz[/B] (DrWEB: Trojan.DownLoader.54123)[*] c:\\windows\\system32\\1025x.exe - [B]Backdoor.Win32.IRCBot.clv[/B] (DrWEB: BackDoor.IRC.Nite)[/LIST][/LIST]