Всем доброго дня!
прошу помочь по сабжу.
Спасибо.
Printable View
Всем доброго дня!
прошу помочь по сабжу.
Спасибо.
Вот, добавил полный гмер-лог
Доброго времени суток
Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
[CODE]bncjtigj.exe -del service vowcuegya
bncjtigj.exe -del service wbqzf
bncjtigj.exe -del file "C:\WINDOWS\system32\letbiu.dll"
bncjtigj.exe -del file "C:\WINDOWS\system32\06BBA.tmp"
bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vowcuegya"
bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vowcuegya"
bncjtigj.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
выполните скрипт в AVZ:[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('c:\sspservice\skstransport.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hbkernel32.sys','');
QuarantineFile('C:\WINDOWS\system32\06BBA.tmp','');
QuarantineFile('C:\WINDOWS\system32\8b52f47.sys','');
QuarantineFile('C:\WINDOWS\system32\4c70249.sys','');
QuarantineFile('C:\WINDOWS\system32\4901228.sys','');
QuarantineFile('E:\DataCollector\DataCollector.exe','');
end.[/CODE]
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи gmer и virusinfo_syscheck.zip
Файл сохранён как 100702_161310_quarantine_4c2dd7d6a8135.zip
Размер файла 33535
MD5 f3d5ce0935e76f363f9bbcdd0badb528
Сейчас готовятся логи.
Там в карантине есть безобидные служебные вещи...
При создании повторного лога gmer на Scan забыли нажать. Переделать
Сорри...
Этот лог в порядке. По карантину АВЗ надо ждать, пока проснется киберанализатор
Доброе утро!
Сейчас пришёл на работу, компьютер с пятницы не выключал. Опять 130 процессов rundll32.exe... :(
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wbqzf');
DeleteService('8b52f47');
DeleteService('4c70249');
DeleteService('4901228');
DeleteFile('C:\WINDOWS\system32\4901228.sys');
DeleteFile('C:\WINDOWS\system32\4c70249.sys');
DeleteFile('C:\WINDOWS\system32\8b52f47.sys');
DeleteFile('C:\WINDOWS\system32\06BBA.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Новые логи. Сканирование ещё не закончилось, опять повалили rundll32.exe
[QUOTE]Platform: Windows [B]XP SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00 SP2[/B] (6.00.2900.2180)[/QUOTE]Это в благодарность за дырявость системы к Вам Kido лезет
Обновляйте срочно систему
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Не знаю, зачем, но прогнал kidokiller. Вроде помогло.
Затем выполнил Ваши инструкции и запустил combofix.
лог в атт.
ЗЫ: Вложения можно очистить? ато уже места не хватает...
Да, самые древние вложения (не из этой темы) можно удалить через [B]Мой кабинет[/B]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
NetSvc::
wkczncgj
vowcuegya
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2147:TCP"=-
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Да, приятного мало... Оставил работать combofix и ушёл домой. Утром таже картина. лог в атт.
Систему обновлять думаете?
Извините за задержку. Всё обновил.
Установили только SP3 или все новые патчи тоже устанавливали?
Да, установил всё, догнал с WU. Только теперь на virusinfo заходит только через 216.246.90.119. Gmer обнаружил rootkit. Начинать всё с начала?
Сделайте логи.
Новые логи
Извините, допустил ошибку. После установки всех апдейтов не посмотрел, включилось восстановление системы. Выключил. переделать логи?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\letbiu.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]bncjtigj.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
bncjtigj.exe -del service otecl
bncjtigj.exe -del file "C:\WINDOWS\system32\letbiu.dll"
bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\otecl"
bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\otecl"
bncjtigj.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Скачайте [URL="http://support.kaspersky.ru/kis2009/error?qid=208636215"]такую[/URL] утилитку и провертесь ей
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
Всё сделал. kidikiller 1 нашёл и 1 вылечил. новые логи в атт. virusinfo уже открывается через DNS.
Со вчера, 17:00, открылось "всего" 17 процессов rundll32.
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
В логе авз ругался на acrobat reader и java. акробат я обновил, и авз это устроило, а жаву не могу обновить, поскольку у меня есть специальный софт, который использует именно эту версию жавы, с любой более поздней версией работать не будет, проверено, а разработчик софтины не шевелится....
Ну и потехоньку плодятся процессы rundll32.exe
Установите надежные пароли на учетные записи пользователей с правами администратора.
Изменил
что с проблемой?
Так сходу тяжело сказать, машина после перезагрузки должна поработать хотя-бы 12 часов. Завтра утром станет ясно.
Ждёмсс.
Всем привет!
Вообщем, ничего хорошего. rundll32.exe к утру наплодилось 83 штуки, да так, что комп отвис безвозвратно. пришлось давить reset.
Считаю дальнейшие движения нецелесообразными. Придётся пару дней повозиться, чтобы переустановить весь специальный софт и т.д....
Или, может есть ещё предложения?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]