службы виндовс ругаются на инфекции
компьютер сильно тормозит
Касперский три дня назад находил mutant, затем слетел
службы виндовс ругаются на инфекции
компьютер сильно тормозит
Касперский три дня назад находил mutant, затем слетел
Последний раз редактировалось yshl; 19.10.2010 в 22:52.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Отключив интернет и антивирус, выполните скрипт в AVZ:Код:R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe, O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide O4 - HKLM\..\Run: [buritos] buritos.exe O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Documents and Settings\Nata\Application Data\Microsoft\Windows\lsass.exe O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: avicore - avicore.dll (file missing) O20 - Winlogon Notify: reset6 - mswshl.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: __c002C71 - C:\WINDOWS\SYSTEM32\__c002C71.jpg
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\ntos.exe',''); QuarantineFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe',''); QuarantineFile('C:\Documents and Settings\Nata\Application Data\Microsoft\Windows\lsass.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winpv27.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\__c002C71.jpg',''); DeleteFile('C:\WINDOWS\SYSTEM32\__c002C71.jpg'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winpv27.sys'); DeleteFile('C:\Documents and Settings\Nata\Application Data\Microsoft\Windows\lsass.exe'); DeleteFile('C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe'); DeleteFile('c:\windows\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winxe84'); BC_DeleteSvc('Winxe52'); BC_DeleteSvc('Winwd16'); BC_DeleteSvc('Winqw27'); BC_DeleteSvc('Winnt51'); BC_DeleteSvc('Winms38'); BC_DeleteSvc('Winms16'); BC_DeleteSvc('Winlr51'); BC_DeleteSvc('Winhn52'); BC_DeleteSvc('Wingm73'); BC_DeleteSvc('Winci51'); BC_DeleteSvc('Winbh05'); BC_DeleteSvc('Winag40'); BC_DeleteSvc('WmiMessenger'); BC_DeleteSvc('winmgmtMessenger'); BC_DeleteSvc('WebClientaspnet_state'); BC_DeleteSvc('W32TimeTermService'); BC_DeleteSvc('VSSClipSrvSamSsAudioSrv'); BC_DeleteSvc('VSSClipSrvSamSs'); BC_DeleteSvc('VSSClipSrv'); BC_DeleteSvc('UPSSMTPSVC'); BC_DeleteSvc('ThemesRemoteRegistry'); BC_DeleteSvc('TapiSrvMSMQTriggersRpcSs'); BC_DeleteSvc('TapiSrvERSvc'); BC_DeleteSvc('TapiSrvdmserver'); BC_DeleteSvc('SysmonLogdmserver'); BC_DeleteSvc('SSDPSRVW32Time'); BC_DeleteSvc('SpoolerNtmsSvc'); BC_DeleteSvc('SNMPRemoteRegistry'); BC_DeleteSvc('ShellHWDetectionSpooler'); BC_DeleteSvc('PlugPlayWZCSVC'); BC_DeleteSvc('MSMQTriggersRpcSs'); BC_DeleteSvc('MSMQTriggerslanmanserver'); BC_DeleteSvc('MSFtpsvcSENS'); BC_DeleteSvc('MessengerShellHWDetection'); BC_DeleteSvc('ImapiServiceSNMP'); BC_DeleteSvc('HidServSysmonLog'); BC_DeleteSvc('HidServProtectedStorage'); BC_DeleteSvc('helpsvcMSMQ'); BC_DeleteSvc('EventSystemIISADMIN'); BC_DeleteSvc('AppMgmtseclogon'); BC_DeleteSvc('AlerterWmi'); BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); SetServiceStart('Alerter', 4); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29937).
Сделайте новые логи.
I am not young enough to know everything...
теперь еще и перезагружаться часто стал
Последний раз редактировалось yshl; 19.10.2010 в 22:52.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\system32\Drivers\Winpv27.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} '); QuarantineFile('C:\WINDOWS\system32\Drivers\Winpv27.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('c:\Recycled\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\_scui.cpl',''); DeleteService('Winpv27'); DeleteService('TlntSvrSCardDrv'); DeleteService('SNMPSSDPSRV'); DeleteService('MessengerMessengerShellHWDetection'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winpv27.sys'); DeleteFile('C:\WINDOWS\system32\_scui.cpl'); DeleteFile('c:\Recycled\userinit.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winpv27'); BC_DeleteSvc('TlntSvrSCardDrv'); BC_DeleteSvc('SNMPSSDPSRV'); BC_DeleteSvc('MessengerMessengerShellHWDetection'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\Winpv27.sys)
Карантин с использованием прямого чтения - ошибка
Добавлено через 6 минут
C:\WINDOWS\SYSTEM32\WinCtrl32.dll не удаляется
Добавлено через 2 минуты
удалился с 4-го раза, но что делать с C:\WINDOWS\system32\Drivers\Winpv27.sys
непонятно
Последний раз редактировалось yshl; 10.09.2008 в 18:11. Причина: Добавлено
IceSword ом не удаляется? Выполняйте скрипт, делайте логи, будм смотреть.Сообщение от yshl
были проблемы с инетом
все удаляется
в карантин не хочет копироваться C:\WINDOWS\system32\Drivers\Winpv27.sys
Убейте его IseSword, повторите логи.
пока ругается
Последний раз редактировалось yshl; 19.10.2010 в 22:52.
1. Скачать архив: http://freenet-homepage.de/rene-gad/123.zip
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку Scan for Rootkits
6. Скопировать скрипт в окно:
7. Закрыть все окна кроме AvengerКод:files to delete: c:\windows\system32\braviax.exe C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\system32\Drivers\Winpv27.sys
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
11. Логи по правилам повторить.
система жутко тормозит
ругань пропала
Последний раз редактировалось yshl; 19.10.2010 в 22:52.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O20 - Winlogon Notify: __c002C71 - __c002C71.jpg (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\rsexduc.sys',''); QuarantineFile('C:\Documents and Settings\Nata\Local Settings\Temporary Internet Files\Content.IE5\A1SR6HGP\Install[1].exe',''); QuarantineFile('C:\WINDOWS\system32\winivstr.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv27.sys',''); DeleteService('Winpv27'); DeleteService('SysmonLogImapiService'); DeleteService('SamSsProtectedStorage'); DeleteService('RDSessMgrSwPrv'); DeleteService('EventSystemTlntSvrSCardDrv'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv27.sys'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\Documents and Settings\Nata\Local Settings\Temporary Internet Files\Content.IE5\A1SR6HGP\Install[1].exe'); DeleteFile('C:\WINDOWS\system32\DRIVERS\rsexduc.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winpv27'); BC_DeleteSvc('SysmonLogImapiService'); BC_DeleteSvc('SamSsProtectedStorage'); BC_DeleteSvc('RDSessMgrSwPrv'); BC_DeleteSvc('EventSystemTlntSvrSCardDrv'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
все равно притормаживает
Последний раз редактировалось yshl; 19.10.2010 в 22:52.
В логах ничего зловредного не видно.
Посмотрите в диспетчере задач или ProcessExplorer - кто грузит систему.
вроде все
спасибо за помощь
с меня причитается
Добавлено через 3 минуты
блин новая проблема
не удается поставить лицензионного касперского
ругается на drweb который давно удален
Последний раз редактировалось yshl; 11.09.2008 в 13:53. Причина: Добавлено
Запустите АВЗ, Сервис/Поиск по реестру, поищите связанные с Др.Веб ключи и удалите их.
Можете скачать http://www.glarysoft.com/rr.html?tag=download и почистить реестр.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\nata\\local settings\\temporary internet files\\content.ie5\\a1sr6hgp\\install[1].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
- c:\\program files\\xpsecuritycenter\\xpsecuritycenter.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.ag (DrWEB: archive
- c:\\windows\\system32\\__c002c71.jpg - Trojan-Clicker.Win32.Agent.cwd (DrWEB: Trojan.Virtumod.466)
- c:\\windows\\system32\\_scui.cpl - not-a-virus:FraudTool.Win32.XPSecurityCenter.af (DrWEB: Trojan.Fakealert.1317)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23
- c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
Уважаемый(ая) yshl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
