WMSetup и все-все-все...

Printable View

05.06.2008, 21:24
an2000

Вложений: 3

WMSetup и все-все-все...

Поймал subj. Одновременно с ним - куча файлов с расширениями .dll и .sys в C:\WINDOWS\system32\. CureIt обнаруживает, говорит, что удаляет, просит перегрузиться... и все остается на своих местах...:(
Прошу помощи.
05.06.2008, 21:36
V_Bond

м - да .... "рука бойца колоть устала ...."
сп1 + отсутствие антивируса ...
віполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
DelBHO('{91698482-6555-3666-1222-954784129019}');
DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
DelBHO('{5A069845-2036-6084-9054-6087502480A5}');
DelBHO('{55694105-5108-9405-3695-954187462155}');
DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
DelBHO('{37AC9076-C898-B098-D098-A18319080973}');
DelBHO('{33512378-9874-5641-1025-985420368733}');
DelBHO('{32023698-6984-8541-9654-698745012523}');
DelBHO('{2B69874A-C58C-458D-69F0-698F874E41B2}');
DelBHO('{22596546-2036-9451-6058-658402589722}');
DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
QuarantineFile('C:\WINDOWS\System32\zywmfime.dll','');
QuarantineFile('C:\WINDOWS\System32\zxptejpg.dll','');
QuarantineFile('C:\WINDOWS\System32\zptlcsys.dll','');
QuarantineFile('C:\WINDOWS\System32\zdesfx.dll','');
QuarantineFile('C:\WINDOWS\System32\yzztimsn.dll','');
QuarantineFile('C:\WINDOWS\System32\yxfhcjpg.dll','');
QuarantineFile('C:\WINDOWS\System32\ypdjfbmp.dll','');
QuarantineFile('C:\WINDOWS\System32\ydgn.dll','');
QuarantineFile('C:\WINDOWS\System32\xfgnfx.dll','');
QuarantineFile('C:\WINDOWS\System32\xdhdg.dll','');
QuarantineFile('C:\WINDOWS\System32\wyrsdj.dll','');
QuarantineFile('C:\WINDOWS\System32\ukrth.dll','');
QuarantineFile('C:\WINDOWS\System32\thef.dll','');
QuarantineFile('C:\WINDOWS\System32\swsxachu.dll','');
QuarantineFile('C:\WINDOWS\System32\sthth.dll','');
QuarantineFile('C:\WINDOWS\System32\skqncbib.dll','');
QuarantineFile('C:\WINDOWS\System32\sefawe.dll','');
QuarantineFile('C:\WINDOWS\System32\ozfyebyt.dll','');
QuarantineFile('C:\WINDOWS\System32\oswxcttb.dll','');
QuarantineFile('C:\WINDOWS\System32\oqrthc.dll','');
QuarantineFile('C:\WINDOWS\System32\opshbbty.dll','');
QuarantineFile('C:\WINDOWS\System32\njritc.dll','');
QuarantineFile('C:\WINDOWS\System32\nhmxcjkl.dll','');
QuarantineFile('C:\WINDOWS\System32\mpwdeapi.dll','');
QuarantineFile('C:\WINDOWS\System32\lassaplo.dll','');
QuarantineFile('C:\WINDOWS\System32\lariytrz.dll','');
QuarantineFile('C:\WINDOWS\System32\kduy.dll','');
QuarantineFile('C:\WINDOWS\System32\jkhjsd.dll','');
QuarantineFile('C:\WINDOWS\System32\jhrcar.dll','');
QuarantineFile('C:\WINDOWS\System32\hjmh.dll','');
QuarantineFile('C:\WINDOWS\System32\hjk.dll','');
QuarantineFile('C:\WINDOWS\System32\hhrdxd.dll','');
QuarantineFile('C:\WINDOWS\System32\hgfhk.dll','');
QuarantineFile('C:\WINDOWS\System32\hfrdzx.dll','');
QuarantineFile('C:\WINDOWS\System32\gjbhr.dll','');
QuarantineFile('C:\WINDOWS\System32\fydgky.dll','');
QuarantineFile('C:\WINDOWS\System32\dtrgjy.dll','');
QuarantineFile('C:\WINDOWS\System32\dehkj.dll','');
QuarantineFile('C:\WINDOWS\System32\crugd.dll','');
QuarantineFile('C:\WINDOWS\System32\apsgdjba.dll','');
QuarantineFile('C:\WINDOWS\linkinfo.dll','');
QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\System32\apsgdjba.dll');
DeleteFile('C:\WINDOWS\System32\crugd.dll');
DeleteFile('C:\WINDOWS\System32\dehkj.dll');
DeleteFile('C:\WINDOWS\System32\dtrgjy.dll');
DeleteFile('C:\WINDOWS\System32\fydgky.dll');
DeleteFile('C:\WINDOWS\System32\gjbhr.dll');
DeleteFile('C:\WINDOWS\System32\hfrdzx.dll');
DeleteFile('C:\WINDOWS\System32\hgfhk.dll');
DeleteFile('C:\WINDOWS\System32\hhrdxd.dll');
DeleteFile('C:\WINDOWS\System32\hjk.dll');
DeleteFile('C:\WINDOWS\System32\hjmh.dll');
DeleteFile('C:\WINDOWS\System32\jhrcar.dll');
DeleteFile('C:\WINDOWS\System32\jkhjsd.dll');
DeleteFile('C:\WINDOWS\System32\kduy.dll');
DeleteFile('C:\WINDOWS\System32\lariytrz.dll');
DeleteFile('C:\WINDOWS\System32\lassaplo.dll');
DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll');
DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll');
DeleteFile('C:\WINDOWS\System32\njritc.dll');
DeleteFile('C:\WINDOWS\System32\opshbbty.dll');
DeleteFile('C:\WINDOWS\System32\oqrthc.dll');
DeleteFile('C:\WINDOWS\System32\oswxcttb.dll');
DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll');
DeleteFile('C:\WINDOWS\System32\skqncbib.dll');
DeleteFile('C:\WINDOWS\System32\sthth.dll');
DeleteFile('C:\WINDOWS\System32\swsxachu.dll');
DeleteFile('C:\WINDOWS\System32\thef.dll');
DeleteFile('C:\WINDOWS\System32\ukrth.dll');
DeleteFile('C:\WINDOWS\System32\wyrsdj.dll');
DeleteFile('C:\WINDOWS\System32\xdhdg.dll');
DeleteFile('C:\WINDOWS\System32\xfgnfx.dll');
DeleteFile('C:\WINDOWS\System32\ydgn.dll');
DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll');
DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll');
DeleteFile('C:\WINDOWS\System32\yzztimsn.dll');
DeleteFile('C:\WINDOWS\System32\zdesfx.dll');
DeleteFile('C:\WINDOWS\System32\zptlcsys.dll');
DeleteFile('C:\WINDOWS\System32\zxptejpg.dll');
DeleteFile('C:\WINDOWS\System32\zywmfime.dll');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('bnxnb.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('dbfb.dll');
DeleteFile('dfhsh.dll');
DeleteFile('dhugtj.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('dscef.dll');
DeleteFile('ektvm.dll');
DeleteFile('ethsh.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('frntrn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('gfcfg.dll');
DeleteFile('gjkhj.dll');
DeleteFile('gmnait.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgnmjsdg.dll');
DeleteFile('hjaiq.dll');
DeleteFile('hjtdrh.dll');
DeleteFile('hkfgh.dll');
DeleteFile('hyjmt.dll');
DeleteFile('ijatnaw.dll');
DeleteFile('jwlah.dll');
DeleteFile('jzijj.dll');
DeleteFile('mrjhtjd.dll');
DeleteFile('qrhhb.dll');
DeleteFile('rdthr.dll');
DeleteFile('rgghjj.dll');
DeleteFile('rhs.dll');
DeleteFile('sehhter.dll');
DeleteFile('serger.dll');
DeleteFile('serghjm.dll');
DeleteFile('setrhes.dll');
DeleteFile('stehs.dll');
DeleteFile('thsddh.dll');
DeleteFile('tjdegtr.dll');
DeleteFile('uyjtd.dll');
DeleteFile('wfhyt.dll');
DeleteFile('xbcvxb.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdndn.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xgnfn.dll');
DeleteFile('yjrfe.dll');
DeleteFile('ytjkyer.dll');
DeleteFile('zdbdb.dll');
DeleteFile('zfdzb.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
05.06.2008, 22:23
an2000

1. Параллельно хочу сказать, что методом, описанным у Вас, отключить восстановление системы не удается. Идет "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите и повторите попытку". Перезагружаю - то же самое. Могу отключить лишь службу восстановления...
После выполнения скрипта:
2. Некоторые файлы .dll в директории C:\WINDOWS\system32\ стали .bak'ами.
3. Та же wmsetup.dll (и wmsetup.bak) есть и в C:\WINDOWS\Temp\ и в c:\Documents and Settings\Father\Local Settings\Temp\. В последней еще и подозрительные файлы .gif.
4. Подозрительные файлы (включая Jview.dll) есть и в директории c:\WINDOWS\AppPatch\.

Карантин прилагаю. Логи чуть позже, время же надо...
PS Попытался кинуть карантин. Не вышло... :( "
[B]virus.zip[/B]:
388.3 Кбайт превысил(а) предел на форуме. [URL="http://virusinfo.info/misc.php?do=attachments"]Нажмите здесь для просмотра ваших вложений[/URL] "
Что делать?
05.06.2008, 22:27
wise-wistful

[b]an2000[/b] Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке [url]http://virusinfo.info/upload_virus.php?tid=24100[/url]
05.06.2008, 22:43
an2000

[quote=wise-wistful;237034][B]an2000[/B] Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=24100[/URL][/quote]
Я и хотел отослать, нажав на "прислать запрошенный карантин", но уже начал писать ответ (а ссылка в этоот момент пропадает!). Я ее не нашел и... :)
PS Отправил. Как положено.
06.06.2008, 07:20
an2000

Вложений: 3

А вот и логи. Правда, чем они будут отличаться от первоначальных - я не знаю.
06.06.2008, 15:18
V_Bond

Восстановление системы - отключить ...
пофиксите ...
[code]
O2 - BHO: swsxachu.dll - {13FD5987-65D2-C58D-D87E-987451F12531} - C:\WINDOWS\System32\swsxachu.dll (file missing)
O2 - BHO: opshbbty.dll - {22596546-2036-9451-6058-658402589722} - C:\WINDOWS\System32\opshbbty.dll (file missing)
O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - C:\WINDOWS\System32\lassaplo.dll (file missing)
O2 - BHO: skqncbib.dll - {32023698-6984-8541-9654-698745012523} - C:\WINDOWS\System32\skqncbib.dll (file missing)
O2 - BHO: oswxcttb.dll - {33512378-9874-5641-1025-985420368733} - C:\WINDOWS\System32\oswxcttb.dll (file missing)
O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\System32\yxcschlp.dll
O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - C:\WINDOWS\System32\nhmxcjkl.dll (file missing)
O2 - BHO: apsgdjba.dll - {4FD45A54-9875-698F-E56E-65102358FDF4} - C:\WINDOWS\System32\apsgdjba.dll (file missing)
O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINDOWS\System32\zptlcsys.dll (file missing)
O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\System32\mpwdeapi.dll (file missing)
O2 - BHO: ozfyebyt.dll - {5A069845-2036-6084-9054-6087502480A5} - C:\WINDOWS\System32\ozfyebyt.dll (file missing)
O2 - BHO: zywmfime.dll - {6319A1F1-9410-9654-3201-345FFA349136} - C:\WINDOWS\System32\zywmfime.dll (file missing)
O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\System32\mnmhgsrv.dll
O2 - BHO: ypdjfbmp.dll - {81954FAC-1023-154F-895A-1458258AD818} - C:\WINDOWS\System32\ypdjfbmp.dll (file missing)
O2 - BHO: yxfhcjpg.dll - {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - C:\WINDOWS\System32\yxfhcjpg.dll (file missing)
O2 - BHO: zxptejpg.dll - {91698482-6555-3666-1222-954784129019} - C:\WINDOWS\System32\zxptejpg.dll (file missing)
O2 - BHO: yzztimsn.dll - {9490415F-65F8-B5C5-D8BA-9405FB120549} - C:\WINDOWS\System32\yzztimsn.dll (file missing)
O20 - AppInit_DLLs: dehkj.dll,dtrgjy.dll,grgrjj.dll,wergjuk.dll,sergy.dll,ergfwe.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,hjk.dll,gjbhr.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thyut.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,fgffthui.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
[/code]
віполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
DelBHO('{91698482-6555-3666-1222-954784129019}');
DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
DelBHO('{5A069845-2036-6084-9054-6087502480A5}');
DelBHO('{55694105-5108-9405-3695-954187462155}');
DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
DelBHO('{37AC9076-C898-B098-D098-A18319080973}');
DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
DelBHO('{33512378-9874-5641-1025-985420368733}');
DelBHO('{32023698-6984-8541-9654-698745012523}');
DelBHO('{22596546-2036-9451-6058-658402589722}');
DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll','');
QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll','');
QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll');
DeleteFile('C:\WINDOWS\System32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\System32\hfrdzx.dll');
DeleteFile('C:\WINDOWS\System32\hhrdxd.dll');
DeleteFile('C:\WINDOWS\System32\jhrcar.dll');
DeleteFile('C:\WINDOWS\System32\lassaplo.dll');
DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll');
DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll');
DeleteFile('C:\WINDOWS\System32\opshbbty.dll');
DeleteFile('C:\WINDOWS\System32\oswxcttb.dll');
DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll');
DeleteFile('C:\WINDOWS\System32\skqncbib.dll');
DeleteFile('C:\WINDOWS\System32\swsxachu.dll');
DeleteFile('C:\WINDOWS\System32\wyrsdj.dll');
DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll');
DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll');
DeleteFile('C:\WINDOWS\System32\zptlcsys.dll');
DeleteFile('C:\WINDOWS\System32\zxptejpg.dll');
DeleteFile('C:\WINDOWS\System32\zywmfime.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('crugd.dll');
DeleteFile('dbfb.dll');
DeleteFile('dehkj.dll');
DeleteFile('dgrdgr.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('ektvm.dll');
DeleteFile('ergfwe.dll');
DeleteFile('fgffthui.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('ghjkdr.dll');
DeleteFile('ghthhh.dll');
DeleteFile('gjkhj.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgfhk.dll');
DeleteFile('hjk.dll');
DeleteFile('hrergh.dll');
DeleteFile('jwlah.dll');
DeleteFile('jyjlt.dll');
DeleteFile('mgmgmm.dll');
DeleteFile('mrjhtjd.dll');
DeleteFile('njritc.dll');
DeleteFile('oqrthc.dll');
DeleteFile('rgghjj.dll');
DeleteFile('sehhter.dll');
DeleteFile('serghjm.dll');
DeleteFile('sthth.dll');
DeleteFile('thsddh.dll');
DeleteFile('wergjuk.dll');
DeleteFile('wfhyt.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdhdg.dll');
DeleteFile('xfgnfx.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xfng.dll');
DeleteFile('zdbdb.dll');
DeleteFile('yjrfe.dll');
DeleteFile('zdbfbd.dll');
DeleteFile('zfdzb.dll');
DeleteFile('C:\WINDOWS\System32\apsgdjba.dll');
DeleteFile('C:\WINDOWS\System32\yzztimsn.dll');
DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe');
DeleteFile('C:\WINDOWS\system32\zxcsahlp.exe');
DeleteFile('C:\WINDOWS\system32\zsdjabmp.exe');
DeleteFile('C:\WINDOWS\system32\zptlcsys.bak');
DeleteFile('C:\WINDOWS\system32\zdesfx.bak');
DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\system32\wyrsdj.bak');
DeleteFile('C:\WINDOWS\system32\ukrth.bak');
DeleteFile('C:\WINDOWS\system32\sfsxachu.exe');
DeleteFile('C:\WINDOWS\system32\opshbbty.bak');
DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll');
DeleteFile('C:\WINDOWS\system32\lpsgajba.exe');
DeleteFile('C:\WINDOWS\system32\jhrcar.bak');
DeleteFile('C:\WINDOWS\system32\hjmh.bak');
DeleteFile('C:\WINDOWS\system32\hhrdxd.bak');
DeleteFile('C:\WINDOWS\system32\hfrdzx.bak');
DeleteFile('C:\WINDOWS\system32\azwmaime.exe');
DeleteFile('C:\WINDOWS\system32\apsgdjba.bak');
DeleteFile('C:\WINDOWS\system32\aitlasys.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
06.06.2008, 15:33
an2000

Насчет отключения системы я писал выше. Службу отключил. Выполнять?
06.06.2008, 16:30
V_Bond

выполняйте...
06.06.2008, 18:49
an2000

HiJack пофиксил. Скрипт выполнил. Перегрузился. При запуске в AVZ скрипта лечения/карантина и сбора информации система стала перегружаться. :( До окончания работы AVZ...
Жду указаний.
06.06.2008, 18:53
V_Bond

делайте логи начиная с пункта 10 правил ...
06.06.2008, 19:10
an2000

Вложений: 2

Done.
06.06.2008, 19:16
V_Bond

уже лучше ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\apppatch\acxtrnel.dll','');
DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll','');
QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll','');
QuarantineFile('C:\WINDOWS\System32\zdesfx.dll','');
QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\System32\zdesfx.dll');
DeleteFile('C:\WINDOWS\System32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll');
DeleteFile('c:\windows\apppatch\acxtrnel.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
06.06.2008, 20:03
an2000

Вложений: 2

Карантин выслал (2008-06-06.zip). Старые файлы из него убрал (для уменьшения). Первый скрипт все так же перегружает комп. Остальные два лога прилагаю.
06.06.2008, 20:08
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll');
DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
DeleteFile('c:\windows\apppatch\acxtrnel.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
06.06.2008, 20:46
an2000

Информация к размышлению.
В директории C:\WINDOWS\system32\drivers\ торчат vdexntq5.sys, cdralw.sys.
В C:\WINDOWS\Temp\ и c:\Documents and Settings\Father\Local Settings\Temp\ постоянно присутствует wmsetup.bak (той же длины - 5632).
Сейчас будут логи.
06.06.2008, 20:53
an2000

Вложений: 2

Вот и они!
06.06.2008, 21:11
V_Bond

пофиксите ...
[code]
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
[/code]
віполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(' C:\WINDOWS\system32\drivers\IsDrv122.sys','');
QuarantineFile(' C:\WINDOWS\system32\drivers\cdralw.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
06.06.2008, 21:43
an2000

Вложений: 1

Запустил HiJack, чтобы пофиксить... а там... гляньте...:(
06.06.2008, 21:52
V_Bond

.... выполните пункт 2 правил , затем установите пробную версию антивируса касперского - провертесь .... и потом новые логи ....
07.06.2008, 09:29
an2000

С добрым утром! :)
Качал сначала Касперского, потом обновления... Потом запускал... Проверял и диск С, и выборочно директории, где зловреды сидят... И с другого диска грузился... Так всю ночь... Писать не писал - должны же люди отдыхать! ;)

Впечатления? Те же самые, что и от CureIt - находит, определяет (ну, может быть, немного по-другому), обещает "удалить после перезагрузки"... Всё! Других отличий нет! Ааа, "визг" забыл... ;)

"После перезагрузки" сначала восстанавливается почти все (из того, что удалилось), а потом и просто всё... Да, прибавилось только "касперовских" файлов типа kleaner (pid 3428) 2008-06-07 06-26-17.log... Вот так...

Что делать - ума не приложу. Думал, Каспер "посильнее" будет, но... :(

PS Да, еще... заметил, что существует какой-то Intruder, который пытается воткнуть rundll32 и explorer в мой браузер (MyIE2). Может быть, это поможет Вам понять логику вируса?
07.06.2008, 10:16
SDA

Какая версия Касперского?
07.06.2008, 13:52
an2000

Которую скачал с сайта. 7.0.1.325.c.d (О программе). С последним обновлением базы 07.06.2008 04:13:23.

PS Уже 07.06.2008 08:25:45... Разницы, естественно, нет...

PPS Так от чего оно лечит? От осыпающихся букв? :)

[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]

Ребята, поймите меня правильно! Если бы оно действительно лечило - неужели я стал бы транжирить Ваше драгоценное время??? А так... только и надежды на Ваши умные головы и, главное - опыт... Как видите, у Касперского этой вакцины нет (видно, не у него писали)... ;)
07.06.2008, 14:21
SDA

А проверялись в безопасном режиме? Можно попробовать новой версией - KIS2009 [url]http://dnl-eu14.kaspersky-labs.com/devbuilds/TR/KIS/[/url] V_Bond просил у Вас новые логи.
07.06.2008, 15:08
an2000

1. В безопасном тоже пробовал. Но не век же мне там сидеть. Вхожу в нормальный - через некоторое время "всё на месте"...
2. Новой версией? От безысходности - можно... Но, не думаю, что результат будет принципиально иным. Ведь тогда Касперскому надо будет как-то объяснять надобность наличия версии 7 (которая не лечит)!
3. Логи я не высылал, т.к. по поведению системы (и по HiJack'у) видно, что, ничего не поменялось. Толку-то высылать одно и то же? Хотя, если Вы настаиваете... ;)
Да что там HiJack! Открыл директорию Коммандером да посмотрел... Всё на месте!
07.06.2008, 19:14
V_Bond

предположить можно следущее - вся гадость лезет к вам через уязвимости вашей системы сп1 - т.е мы пытемся вычерпать воду из дырявой лодки (по статистике машина с сп 1 остается чистой в интернет менее часа ) ...
07.06.2008, 19:58
an2000

Спорить не буду, скорее всего Вы правы, но прошу учесть:
1. Это появилось совсем недавно, а на SP1 я уже несколько лет.
2. Я пробовал и не выходить в инет - то же самое... :( Но иногда все-таки выхожу - чтобы скачать советуемое и зайти сюда, в форум.

Вот сейчас скачаю рекомендованную "восьмерку", проверю - скажите, плз, что прислать?
Кстати, как я понимаю, "семерка" слетит?

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

[quote=SDA;237774]Можно попробовать новой версией - KIS2009 [URL]http://dnl-eu14.kaspersky-labs.com/devbuilds/TR/KIS/[/URL] [/quote]

Пока этот КИС качается - вопрос. ;) Скажите, плз, а что, существуют принципиальные отличия у нового Каспера? Я думал, что способность (или неспособность, если так получилось) программы вычистить вирус определяется лишь базой данных, которой она оперирует...
07.06.2008, 20:17
V_Bond

[QUOTE=an2000;237902]Скажите, плз, а что, существуют принципиальные отличия у нового Каспера? Я думал, что способность (или неспособность, если так получилось) программы вычистить вирус определяется лишь базой данных, которой она оперирует...[/QUOTE]
возможность лечить определяется не базами, а антивирусным движком ...
08.06.2008, 00:59
an2000

Хорошо, если так...
Я тут долго запускал Каспера-7 попеременно с AVZ и обнаружил (?), в чем дело. Лучшее, чего я смог добиться, это вычищение ВСЕГО, за исключением одного файла (другие начинают появляться ПОСЛЕ и вне зависимости от подключения к инету). В общем, долго ли, коротко ли, но я нашел в реестре (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\) запись AppInitDLLs, где перечислена вся эта гадость. Вот значение ключа:
hjk.dll,gjbhr.dll,ilkyu.dll,yukevg.dll,sergy.dll,ergfwe.dll,hffgth.dll,tyjert.dll,rthkyuk.dll,jkjkll.dll,ghjyer.dll,kergt.dll,fgthde.dll,losdf.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,wergjuk.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,grgrjj.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,

Но вытереть его не удается, т.к. он обновляется! Видимо, отключения службы восстановления недостаточно. В связи с этим вопрос: Как отключить восстановление системы "через колено"? Я писал выше, что обычный запрет восстановления при загрузке с диска C не проходит... Гружусь с другого диска - пожалуйста!

Если это удастся, думаю, что задачу можно будет назвать решенной.
Подскажите, пожалуйста!
08.06.2008, 13:00
an2000

Как врачи не старались, а больной всё-таки выжил... :D

Насколько я понимаю - задача решена. Ни в одной директории подозрительных файлов вот уже часа четыре как не появляется! (Даже при выходе в инет... ;) )

Всем читавшим (и молча сочувствовавшим) - спасибо!
До новых встреч! ;)

PS Помощникам в борьбе "спасибо" сказано кликами... ;)
22.02.2009, 05:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]89[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\father\\doctorweb\\quarantine\\mnmhgsrv.dll - [B]Trojan-PSW.Win32.OnLineGames.alzc[/B] (DrWEB: Trojan.PWS.Gamania.10853)[*] c:\\documents and settings\\father\\doctorweb\\quarantine\\mnmhgsr0.dll - [B]Trojan-PSW.Win32.OnLineGames.alzc[/B] (DrWEB: Trojan.PWS.Gamania.10853)[*] c:\\documents and settings\\father\\doctorweb\\quarantine\\mnmhgsr1.dll - [B]Trojan-PSW.Win32.OnLineGames.alzc[/B] (DrWEB: Trojan.PWS.Gamania.10853)[*] c:\\documents and settings\\father\\doctorweb\\quarantine\\sfsxachu.exe - [B]Trojan-PSW.Win32.OnLineGames.ajpy[/B] (DrWEB: Trojan.DownLoader.62888)[*] c:\\docume~2\\father\\locals~1\\temp\\wmsetup.dll - [B]Trojan-Downloader.Win32.Murlo.uu[/B] (DrWEB: Trojan.DownLoader.62110)[*] c:\\windows\\apppatch\\acxtrnel.dll - [B]Trojan-Downloader.Win32.Agent.nwl[/B] (DrWEB: Trojan.DownLoader.62220)[*] c:\\windows\\linkinfo.dll - [B]Virus.Win32.Agent.bu[/B] (DrWEB: Trojan.DownLoader.38116)[*] c:\\windows\\system32\\aitlasys.exe - [B]Trojan-PSW.Win32.OnLineGames.ajop[/B] (DrWEB: Trojan.PWS.Gamania.10701)[*] c:\\windows\\system32\\apsgdjba.dll - [B]Trojan-PSW.Win32.OnLineGames.akbq[/B] (DrWEB: Trojan.PWS.Gamania.10724)[*] c:\\windows\\system32\\azwmaime.exe - [B]Trojan-PSW.Win32.OnLineGames.akry[/B] (DrWEB: Trojan.PWS.Gamania.10632)[*] c:\\windows\\system32\\crugd.dll - [B]Trojan-PSW.Win32.OnLineGames.alwx[/B] (DrWEB: Trojan.PWS.Gamania.10824)[*] c:\\windows\\system32\\dehkj.dll - [B]Trojan-GameThief.Win32.OnLineGames.amjj[/B] (DrWEB: Trojan.PWS.Gamania.10823)[*] c:\\windows\\system32\\dtrgjy.dll - [B]Trojan-GameThief.Win32.OnLineGames.amjj[/B] (DrWEB: Trojan.PWS.Gamania.10823)[*] c:\\windows\\system32\\fydgky.dll - [B]Trojan-PSW.Win32.OnLineGames.alwx[/B] (DrWEB: Trojan.PWS.Gamania.10824)[*] c:\\windows\\system32\\gjbhr.dll - [B]Trojan-PSW.Win32.OnLineGames.anau[/B] (DrWEB: Trojan.PWS.Gamania.10825)[*] c:\\windows\\system32\\hfrdzx.dll - [B]Trojan-PSW.Win32.OnLineGames.alpt[/B] (DrWEB: Trojan.PWS.Gamania.10959)[*] c:\\windows\\system32\\hgfhk.dll - [B]Trojan-PSW.Win32.OnLineGames.anat[/B] (DrWEB: Trojan.PWS.Gamania.10825)[*] c:\\windows\\system32\\hhrdxd.dll - [B]Trojan-GameThief.Win32.OnLineGames.alpl[/B] (DrWEB: Trojan.PWS.Gamania.10850)[*] c:\\windows\\system32\\hjk.dll - [B]Trojan-PSW.Win32.OnLineGames.anau[/B] (DrWEB: Trojan.PWS.Gamania.10825)[*] c:\\windows\\system32\\hjmh.dll - [B]Trojan-PSW.Win32.OnLineGames.akvc[/B] (DrWEB: Trojan.PWS.Gamania.10778)[*] c:\\windows\\system32\\jhrcar.dll - [B]Trojan.Win32.Agent.qwf[/B] (DrWEB: Trojan.PWS.Gamania.10852)[*] c:\\windows\\system32\\jkhjsd.dll - [B]Trojan-PSW.Win32.OnLineGames.alwx[/B] (DrWEB: Trojan.PWS.Gamania.10824)[*] c:\\windows\\system32\\kduy.dll - [B]Trojan-PSW.Win32.OnLineGames.akzp[/B] (DrWEB: Trojan.PWS.Wsgame.5476)[*] c:\\windows\\system32\\lariytrz.dll - [B]Trojan-PSW.Win32.OnLineGames.amqz[/B] (DrWEB: Trojan.PWS.Gamania.10825)[*] c:\\windows\\system32\\lassaplo.dll - [B]Trojan-PSW.Win32.OnLineGames.amwd[/B] (DrWEB: Trojan.PWS.Gamania.10826)[*] c:\\windows\\system32\\lpsgajba.exe - [B]Trojan-PSW.Win32.OnLineGames.akwe[/B] (DrWEB: Trojan.PWS.Gamania.10718)[*] c:\\windows\\system32\\mpwdeapi.dll - [B]Trojan-PSW.Win32.OnLineGames.ambj[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\nhmxcjkl.dll - [B]Trojan-PSW.Win32.OnLineGames.almo[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\njritc.dll - [B]Trojan-PSW.Win32.OnLineGames.anav[/B] (DrWEB: Trojan.PWS.Gamania.10825)[*] c:\\windows\\system32\\opshbbty.dll - [B]Trojan-PSW.Win32.OnLineGames.aepa[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\oqrthc.dll - [B]Trojan-PSW.Win32.OnLineGames.alcw[/B] (DrWEB: Trojan.PWS.Wsgame.5522)[*] c:\\windows\\system32\\oswxcttb.dll - [B]Trojan-PSW.Win32.OnLineGames.ajww[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\ozfyebyt.dll - [B]Trojan-PSW.Win32.OnLineGames.aexj[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\sefawe.dll - [B]Trojan-PSW.Win32.OnLineGames.aeoy[/B] (DrWEB: Trojan.PWS.Gamania.10827)[*] c:\\windows\\system32\\sfsxachu.exe - [B]Trojan-PSW.Win32.OnLineGames.ajpy[/B] (DrWEB: Trojan.DownLoader.62888)[*] c:\\windows\\system32\\skqncbib.dll - [B]Trojan-PSW.Win32.OnLineGames.alhk[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\sthth.dll - [B]Trojan-GameThief.Win32.OnLineGames.amjl[/B] (DrWEB: Trojan.PWS.Wsgame.5761)[*] c:\\windows\\system32\\swsxachu.dll - [B]Trojan-PSW.Win32.OnLineGames.aicw[/B] (DrWEB: Trojan.PWS.Gamania.10729)[*] c:\\windows\\system32\\syscbcdk.dll - [B]Trojan-PSW.Win32.OnLineGames.anaw[/B] (DrWEB: Trojan.PWS.Gamania.10958)[*] c:\\windows\\system32\\syswowct.dll - [B]Trojan-PSW.Win32.OnLineGames.ajnn[/B] (DrWEB: Trojan.PWS.Gamania.10418)[*] c:\\windows\\system32\\thef.dll - [B]Trojan-GameThief.Win32.OnLineGames.alqx[/B] (DrWEB: Trojan.PWS.Gamania.10824)[*] c:\\windows\\system32\\ukrth.dll - [B]Trojan-PSW.Win32.OnLineGames.akvc[/B] (DrWEB: Trojan.PWS.Gamania.10778)[*] c:\\windows\\system32\\wyrsdj.dll - [B]Trojan-GameThief.Win32.OnLineGames.alrp[/B] (DrWEB: Trojan.PWS.Gamania.10855)[*] c:\\windows\\system32\\xdhdg.dll - [B]Trojan-GameThief.Win32.OnLineGames.amnd[/B] (DrWEB: Trojan.PWS.Gamania.10778)[*] c:\\windows\\system32\\xfgnfx.dll - [B]Trojan-PSW.Win32.OnLineGames.anax[/B] (DrWEB: Trojan.PWS.Gamania.10825)[*] c:\\windows\\system32\\ydgn.dll - [B]Trojan-PSW.Win32.OnLineGames.alyl[/B] (DrWEB: Trojan.PWS.Gamania.10823)[*] c:\\windows\\system32\\ypdjfbmp.dll - [B]Trojan-PSW.Win32.OnLineGames.ahvx[/B] (DrWEB: Trojan.PWS.Gamania.10694)[*] c:\\windows\\system32\\yxfhcjpg.dll - [B]Trojan-PSW.Win32.OnLineGames.ajqe[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\yzztimsn.dll - [B]Trojan-GameThief.Win32.OnLineGames.amlq[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\zdesfx.dll - [B]Trojan-GameThief.Win32.OnLineGames.ubie[/B] (DrWEB: Trojan.PWS.Gamania.10854)[*] c:\\windows\\system32\\zptlcsys.dll - [B]Trojan-PSW.Win32.OnLineGames.aepy[/B] (DrWEB: Trojan.PWS.Gamania.10428)[*] c:\\windows\\system32\\zsdjabmp.exe - [B]Trojan-PSW.Win32.OnLineGames.ajoi[/B] (DrWEB: Trojan.PWS.Gamania.10694)[*] c:\\windows\\system32\\zxfhajpg.exe - [B]Trojan-PSW.Win32.OnLineGames.ajqe[/B] (DrWEB: Trojan.PWS.Gamania.10722)[*] c:\\windows\\system32\\zxptejpg.dll - [B]Trojan-PSW.Win32.OnLineGames.aeox[/B] (DrWEB: Trojan.PWS.Wsgame.6334)[*] c:\\windows\\system32\\zywmfime.dll - [B]Trojan-PSW.Win32.OnLineGames.aipb[/B] (DrWEB: Trojan.PWS.Gamania.10425)[*] c:\\windows\\temp\\wmsetup.dll - [B]Trojan-Downloader.Win32.Murlo.uu[/B] (DrWEB: Trojan.DownLoader.62110)[/LIST][/LIST]