Добрый вечер.
снес srnh.lto
остался эротический банер с смс 3381
при запуске avz комп перезагружается
Printable View
Добрый вечер.
снес srnh.lto
остался эротический банер с смс 3381
при запуске avz комп перезагружается
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\uefpkn.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\ngatvi.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temporary Internet Files\Content.IE5\SPMNWTAR\HelpLA_lib[1].js','');
QuarantineFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH','');
QuarantineFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH','');
QuarantineFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH','');
QuarantineFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temporary Internet Files\Content.IE5\4TQVOPI3\wbk3.tmp','');
QuarantineFile('C:\WINDOWS\system32\ix.dll','');
QuarantineFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH:$DATA','');
QuarantineFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH:$DATA','');
QuarantineFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH:$DATA','');
DeleteFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH:$DATA');
DeleteFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH:$DATA');
DeleteFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH:$DATA');
DeleteFile('C:\WINDOWS\system32\BSwitch.ax:XJQ6UjNz1YH');
DeleteFile('C:\WINDOWS\Help\wordpad.chm:XJQ6UjNz1YH');
DeleteFile('C:\WINDOWS\Help\compmgmt.chm:XJQ6UjNz1YH');
DeleteFileMask('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
не помогло
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\wddnup.dll','');
DeleteFile('C:\WINDOWS\system32\ix.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\wddnup.dll');
DeleteFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\uefpkn.dll');
DeleteFile('C:\Documents and Settings\Администратор.DBTSSK2J.000\Local Settings\Temp\ngatvi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Помогло, комп больше не перезагружается и программы запускаются.
Антивирус не работает, и не хочет запускаться: "Невозможно открыть данную программу из-за политики ограничения примемения програмного обеспечения."
Что можно сделать чтобы такого заражения больше не было?
Вот логи Agintum Outpost Security Pro
2010/05/16 22:34:02 <SVCHOST.EXE:1780> create_process (allow) "c:\documents and settings\user\local settings\application data\google\update\googleupdate.exe" [0/000081a0]
2010/05/16 23:00:42 <CHROME.EXE:2612> create_process (allow) "c:\program files\java\jre6\bin\java.exe" [0/00009b8c]
2010/05/16 23:00:44 <CHROME.EXE:700> create_process (allow) "c:\program files\adobe\reader 8.0\reader\acrord32.exe" [0/00009b94]
2010/05/16 23:04:21 <ACRORD32.EXE:1436> create_process (allow) "c:\documents and settings\user\local settings\temp\orgf.exe" [0/00009b98]
2010/05/16 23:04:30 <ORGF.EXE:1384> create_process (allow) "c:\windows\system32\rundll32.exe" [0/00009b9c]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009ba0]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009ba4]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009ba8]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bac]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bb0]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\USER\S-1-5-21-3151332251-3434617319-4261484447-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System" [0/00009bb4]
2010/05/16 23:04:40 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\USER\S-1-5-21-3151332251-3434617319-4261484447-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" [0/00009bb8]
2010/05/16 23:04:41 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bbc]
2010/05/16 23:04:41 <RUNDLL32.EXE:3680> change_object (allow) "\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" [0/00009bc0]
2010/05/16 23:04:42 <ORGF.EXE:1384> create_process (allow) "c:\windows\system32\rundll32.exe" [0/00009bc4]
2010/05/16 23:05:39 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bc8]
2010/05/16 23:04:56 <ACRORD32.EXE:1436> create_process (allow) "c:\documents and settings\user\local settings\temp\nfug.exe" [0/00009bcc]
2010/05/16 23:05:18 <SVCHOST.EXE:1564> create_process (allow) "c:\program files\microsoft office\office11\winword.exe" [0/00009bd0]
2010/05/16 23:05:39 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bd4]
2010/05/16 23:05:39 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bd8]
2010/05/16 23:05:40 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009bdc]
2010/05/16 23:05:40 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009be0]
2010/05/16 23:05:40 <ORGF.EXE:1384> protect_memory (block) "C:\WINDOWS\SYSTEM32\RUNDLL32.EXE" [0/00009be4]
2010/05/16 23:05:49 <WINWORD.EXE:2216> create_process (allow) "c:\windows\system32\svchost.exe" [0/00009be8]
2010/05/16 23:05:49 <WINWORD.EXE:2216> write_memory (allow) "C:\WINDOWS\SYSTEM32\SVCHOST.EXE" [0/00009bec]
2010/05/16 23:06:03 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bf0]
2010/05/16 23:06:05 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bf4]
2010/05/16 23:06:07 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bf8]
2010/05/16 23:06:20 <NFUG.EXE:3904> change_object (block) "C:\WINDOWS\system32\srnh.lto" [0/00009bfc]
2010/05/16 23:06:20 <NFUG.EXE:3904> change_object (learn) "C:\WINDOWS\system32\srnh.lto" [0/00009c00]
сделайте такой лог [URL="http://virusinfo.info/showthread.php?t=59446"]http://virusinfo.info/showthread.php?t=59446[/URL]
Забывал сделать syscheck
Выполните скрипт в AVZ
[code]begin
ExecuteRepair(6);
ExecuteRepair(12);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог HiJack + сообщите, решилась ли проблема с Outpost
Outpost запустился.
Не могу попасть в папку C:\Documents and Settings\Администратор.DBTSSK2J.000
"Отказано в доступе."
Вот новые логи
[url]http://www.getsysteminfo.com/read.php?file=cb75de46f4415e8de23bb80b1bd8007a[/url]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
доступ появился?
Нет
Пофиксите в hijack
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\ix.dll[/CODE]
Больше ничего необычного. Попробуйте настроить права на данную папку
Также у меня не показывает скрытых системных файлов. Когда ставлю галку "показать" через некоторое время они скрываются.
Проверьте в реестре в ветке [code]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced[/code] параметры [b]ShowSuperHidden, SuperHidden, Hidden[/b] на предмет равенства "1" (это правильное значение)
А также в ветке
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL[/code] параметр "[b]CheckedValue[/b]" тоже должен быть "1"
Исправил значения в реестре.
Всё работает. Вот новые логи, проверьте пожалуйста
Чтобы можно было запустить AVZ для создания логов, несмотря на вирус и банер, нужно открыть Explorer и запустить avz (не в безопасном режиме), компьютер не будет перезагружаться
[QUOTE='alakazam;639168']нужно открыть Explorer и запустить avz[/QUOTE]Internet Explorer?
[QUOTE=thyrex;639173]Internet Explorer?[/QUOTE]
Да
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор.dbtssk2j.000\local settings\temp\ngatvi.dll - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\администратор.dbtssk2j.000\local settings\temp\uefpkn.dll - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\help\compmgmt.chm:xjq6ujnz1yh - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\help\compmgmt.chm:xjq6ujnz1yh:$data - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\help\wordpad.chm:xjq6ujnz1yh - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\help\wordpad.chm:xjq6ujnz1yh:$data - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\bswitch.ax:xjq6ujnz1yh - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\bswitch.ax:xjq6ujnz1yh:$data - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\ix.dll - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]