-
Вложений: 1
BACKDOOR.TROJAN
Здравствуйте!!!
Win2K
Spydernt.log:
Local Settings\TEMP\много *.exe c BACKDOOR.TROJAN
Tempopary Internet Files\temp\bho[1].exe - программа-AdWare Adware.Bho
В безопасном режиме-синий экран .
AVZ не запустить/появляется-исчезает/,
после перезагрузки AVZ.EXE удаляется.
Dweb как бы блокирован /лог-есть, управление недоступно/.
-
[URL="http://www.megaupload.com/?d=AUGYD37C"]Скачать[/URL] это переименованный IceSword.
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите:
[CODE]C:\WINNT\TEMP\918A.tmp
C:\WINNT\system32\uchm472.exe
C:\WINNT\system32\uchm469.exe
C:\DOCUME~1\gss\LOCALS~1\Temp\w12602b8.exe[/CODE]
Нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем эти файлы+эти
[CODE]C:\WINNT\system32\actcontroller.exe
C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe
C:\Documents and Settings\gss\ie_updates3r.exe[/CODE]
и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
И еще посмотрите если ли там такие файлы:
[CODE]windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe[/CODE]
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.
Скачайте AVZ заного переименуйте в 123.com и попробуйте сделать логи.
-
-
1. Отключите восстановление системы.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
TerminateProcessByName('c:\winnt\temp\2544.tmp');
TerminateProcessByName('c:\docume~1\gss\locals~1\temp\w16ac590.exe');
QuarantineFile('c:\winnt\temp\2544.tmp','');
QuarantineFile('c:\docume~1\gss\locals~1\temp\w16ac590.exe','');
QuarantineFile('C:\WINNT\system32\crypts.dll','');
QuarantineFile('C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\gss\ie_updates3r.exe','');
QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
QuarantineFile('C:\WINNT\system32\actcontroller.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('kdjkx.exe','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINNT\system32\nwiz.exe','');
QuarantineFile('C:\WINNT\system32\uchm427.exe','');
QuarantineFile('C:\Documents and Settings\Default User.WINNT\Local Settings\Temporary Internet Files\Content.IE5\L4HF7EX7\alexey[1].exe','');
DeleteFile('c:\winnt\temp\2544.tmp');
DeleteFile('c:\docume~1\gss\locals~1\temp\w16ac590.exe');
DeleteFile('C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\gss\ie_updates3r.exe');
DeleteFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe');
DeleteFile('C:\WINNT\system32\crypts.dll');
DeleteFile('crypts.dll');
DeleteFile('kdjkx.exe');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Documents and Settings\Default User.WINNT\Local Settings\Temporary Internet Files\Content.IE5\L4HF7EX7\alexey[1].exe');
DeleteFile('C:\WINNT\system32\uchm427.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22392[/url]
3. Повторите логи .
-
Spidernt.log: system32\drivers\grande48.sys-Trojan.Sentinel.
-
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Wdl24');
QuarantineFile('Wdl24.sys','');
BC_DeleteSvc('protect');
QuarantineFile('C:\WINNT\System32\drivers\protect.sys','');
BC_DeleteSvc('grande48');
QuarantineFile('C:\WINNT\system32\drivers\grande48.sys','');
QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
QuarantineFile('c:\docume~1\gss\locals~1\temp\web5ee0.exe','');
DeleteFile('c:\docume~1\gss\locals~1\temp\web5ee0.exe');
DeleteFile('C:\WINNT\system32\drivers\grande48.sys');
DeleteFile('C:\WINNT\System32\drivers\protect.sys');
DeleteFile('Wdl24.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
На логи исчерпал лимит, должен был выслать подтверждение, но на mail.ru захожу-сообщения не открыть. EXE-шники в system32 плодятся /uchm***/
Беда, короче.
-
Подчистил логи. Выкладывайте новые.
-
Вложений: 3
-
web5ee0.exe- [B]Trojan-PSW.Win32.Stealer.l[/B]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: crypt - C:\WINNT\[/CODE]
Это ваш провайдер
[CODE]UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine[/CODE]
Если нет,[URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{A0B74AAF-97E1-4F37-A710-4D96123D56EF}: NameServer = 85.255.113.110,85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\gss\locals~1\temp\w748a38.exe');
DeleteFile('c:\docume~1\gss\locals~1\temp\w748a38.exe');
QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('dpti930 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22392[/url]
Повторите логи.
-
Вложений: 2
Если можно удалите старые логи.
Dweb не запускается,не удаляется.
В Mail.ru сообщения или не открыть или пусто.
Логи
-
fhnkni.sys - поищите при помощи авз и пришлите согласно правилам
-
Скачайте кюрит на чистом ПК, запишите на CD и запустите проверку своей зараженной системы прямо с CD.
-
Вложений: 3
Диск лечил CureIT-ом на чистом компе. Нашел очень много всего.
Из проблем остался синий экран при загрузке в безопасном режиме , у меня
W2K Pro RUS, может быть есть скрипт на эту тему.
Высылаю логи, спасибо.
-
выполните скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
какие-то проблемы остались ?
-
Режим заработал,ура!!!.
Если можно, поставьте диагноз по последним логам, в карантин попал SBCMAUT.exe.
-
SBCMAUT.EXE вы его присылали ? я не вижу ...
-
-
-
Тему закрываем.
Всем большущее СПАСИБО!!!!!!
И С ДНЕМ ПОБЕДЫ !!!!!!
-
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\gss\\locals~1\\temp\\web5ee0.exe - [B]Trojan-PSW.Win32.Stealer.l[/B] (DrWEB: BackDoor.FireOn.8)[*] c:\\winnt\\system32\\kdjkx.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.14)[/LIST][/LIST]
Page generated in 0.01305 seconds with 10 queries