Симптомы такие, отрубает сеть (не могу пинговать другие компы из сетки). Логи прилагаются
Подцепил какую-то заразу, не могу разобраться
Симптомы такие, отрубает сеть (не могу пинговать другие компы из сетки). Логи прилагаются
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Лог Hijackthis приложите, плиз.
Выполнить скрипт:
Прислать карантин, сделать все новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\winnt\system32\mrcmgr.exe',''); TerminateProcessByName('c:\winnt\system32\mrcmgr.exe'); QuarantineFile('C:\WINNT\system32\ADMDLL.dll',''); QuarantineFile('C:\WINNT\system32\basejlx32.dll',''); QuarantineFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe',''); QuarantineFile('C:\WINNT\system32\hmlphl.dll',''); QuarantineFile('C:\WINNT\system32\ddr7xm.dll',''); DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}'); DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}'); DeleteFile('C:\WINNT\system32\ddr7xm.dll'); DeleteFile('C:\WINNT\system32\hmlphl.dll'); DeleteFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe'); DeleteFile('C:\WINNT\system32\basejlx32.dll'); DeleteFile('c:\winnt\system32\mrcmgr.exe'); QuarantineFile('C:\WINNT\system32\ddr7xm.bak',''); QuarantineFile('C:\WINNT\system32\hmlphl.dll',''); QuarantineFile('C:\WINNT\system32\ddr7xm.dll',''); QuarantineFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe',''); DeleteFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe'); DeleteFile('C:\WINNT\system32\3n5nxtoe.tmp'); DeleteFile('C:\WINNT\system32\3vt4f1x7.tmp'); DeleteFile('C:\WINNT\system32\42denzyz.tmp'); DeleteFile('C:\WINNT\system32\4zy1hmoi.tmp'); DeleteFile('C:\WINNT\system32\c7qakaqf.tmp'); DeleteFile('C:\WINNT\system32\cdvxrmbv.tmp'); DeleteFile('C:\WINNT\system32\ddr7xm.bak'); DeleteFile('C:\WINNT\system32\f72tu1bt.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 06.06.2008 в 15:08. Причина: Добавил еще THK Rene-gad
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сори, забыл лог хайджека
новые логи
IE обновить надо
ПофикситеКод:MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\mrcmgr.exe, O2 - BHO: MddApp Class - {1A4F919F-4334-4abf-BF47-0836A8B5A54B} - C:\WINNT\system32\ddr7xm.dll (file missing) O2 - BHO: BhoApp Class - {AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B} - C:\WINNT\system32\hmlphl.dll O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINNT\system32\mrcmgr.exe
Прислать карантин, сделать все новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}'); DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}'); TerminateProcessByName('c:\winnt\system32\mrcmgr.exe'); QuarantineFile('C:\WINNT\system32\ADMDLL.dll',''); QuarantineFile('C:\WINNT\system32\basejlx32.dll',''); QuarantineFile('C:\WINNT\system32\mrcmgr.exe',''); QuarantineFile('C:\WINNT\system32\ddr7xm.dll',''); QuarantineFile('C:\WINNT\system32\hmlphl.dll',''); QuarantineFile('c:\winnt\system32\ddr7xm.dll',''); DeleteFile('c:\winnt\system32\ddr7xm.dll'); DeleteFile('C:\WINNT\system32\hmlphl.dll'); DeleteFile('C:\WINNT\system32\ddr7xm.dll'); DeleteFile('C:\WINNT\system32\mrcmgr.exe'); DeleteFile('C:\WINNT\system32\basejlx32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Rene-gad; 06.06.2008 в 16:49.
Небольшая поправочка... На машине стоит RAdmin Admdll.dll это его библиотека. Прогу ставил я, стоит на всех машинах в сети. Можно ли его не удалять?
ОК, удалять не будем, но в карантин закачайте, плиз. Скрипт я подправилСообщение от Bibigon
. Если он не закачается - значит чист
вот такой наборчик:
access[1].htm - not-a-virus: Porn-Dialer.Win32.GBDialer.j
basejlx32.dll - Trojan.Win32.SubSys.dr,
hmlphl.dll - Backdoor.Win32.H3.a
ddr7xm.dll - not-a-virus:AdWare.Win32.BHO.bco
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ну так другого и ждать не приходится, ежели v5.00 SP4
Сорри
можете оставить. Если пофиксили - можете из бекапа восстановитьO3 - Toolbar: @msdxmLC.dll,-1@1033,&Ðадио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
Последний раз редактировалось Rene-gad; 06.06.2008 в 16:50. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\basejlx32.dll - Trojan.Win32.SubSys.dr (DrWEB: Trojan.Okuks.based)
- c:\\winnt\\system32\\cdvxrmbv.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\c7qakaqf.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\ddr7xm.bak - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\ddr7xm.dll - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\f72tu1bt.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\hmlphl.dll - Backdoor.Win32.H3.a (DrWEB: Trojan.PWS.GoldSpy.2173)
- c:\\winnt\\system32\\ssjn61c2.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\3n5nxtoe.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\3vt4f1x7.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\4zy1hmoi.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\42denzyz.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- d:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\g5uj89an\\access[1].htm - not-a-virus
orn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
Уважаемый(ая) Bibigon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
