Не могу вылечить...
Трафик огромный из-за него
Не могу вылечить...
Трафик огромный из-за него
Многовато, может кого и забыл.
В AVZ выполнить скрипт:
Загрузить карантин после перезагрузки, см. ссылку вверху темы "Прислать запрошенные файлы".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winnet.dll',''); QuarantineFile('http.exe',''); QuarantineFile('c:\windows\system32\drivers\ip6fw.sys',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\winload.dll',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('\??\C:\WINDOWS\system32\ksys.sys',''); QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys',''); QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys',''); QuarantineFile('c:\docume~1\andrey~1.hom\locals~1\temp\winlogon.exe',''); BC_DeleteFile('c:\windows\system32\drivers\ip6fw.sys'); BC_DeleteFile('c:\docume~1\andrey~1.hom\locals~1\temp\winlogon.exe'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('\??\C:\WINDOWS\system32\ksys.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end.
На этой машине ни антивируса, ни файервалла не наблюдается?
Странно, это выглядит.
Сделать новые логи. Посмотрим, что удалилось и не исчезай. Лечение, возможно, будет длинным.
Последний раз редактировалось PavelA; 28.06.2007 в 20:53.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После каждой перезагрузки DrWeb находит BackDoor.Bulknet в c:\windows\system32\drivers\ip6fw.sys
Закачал карантин.
Новые логи сделал.
Трафик посторонний исчез вроде...
Карантин какой-то странный получился: без пароля, и нет некоторых файлов.
Сегодня убегаю, м.б. ночью кто посмотрит. Осталось еще штучек несколько зверушек.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо. Вроде все ок
Не все, как минимум один зверек еще жив, и мусора много.Спасибо. Вроде все ок
Выполните скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\ANDREY~1.HOM\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); DeleteFile('C:\WINDOWS\system32\winload.dll'); DeleteFile('http.exe'); DeleteFile('C:\WINDOWS\system32\winnet.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
(некоторых строк может уже не оказаться).Код:R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDHhd+DajHSmVo+L2EpFGQ1IRIpy90EdJyrIllsNphrABqNkxXfdcWQrrYFFGMkisCKRvOQWVF29EVc+orsWSMqOv0jKQhKfNYd3weVUygsLVq5s8m0qdf9osXEDilL3rYEpqWfA7rVFmqvZg4uetaR8ZYkLXN5s2DY2b5/3tDSZYi8YSogJc8Ctak4YukSyD0r44lH4RE= O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll O2 - BHO: Yahoo ToolBar - {BE756CFF-ADB4-4bc5-A35F-19E546E5710E} - C:\WINDOWS\system32\winnet.dll (file missing) O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Program Files\Starware\bin\Starware.dll (file missing) O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Program Files\Starware\bin\Starware.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Microsoft Status] http.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ANDREY~1.HOM\LOCALS~1\Temp\winlogon.exe O9 - Extra button: Поиск рефератов - {EEC1A0A4-CE43-400D-9173-F709499DE88E} - D:\Oleg\1\poiskref\D764~1\bar.dll (file missing) O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
Перезагрузитесь и сделайте новые логи п.10-13 правил для контроля.
I am not young enough to know everything...
Сделал.
Вот логи для контроля...
Вот теперь действительно все ОК.
Ради чистоты я бы пофиксил еще некоторые объекты автозапуска ввиду их практической бесполезности, но это уже на ваше усмотрение:
Код:O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\andrey~1.hom\\locals~1\\temp\\winlog on.exe - Virus.Win32.Grum.k (DrWEB: Trojan.Packed.147)
- c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
- c:\\windows\\system32\\ksys.sys - Rootkit.Win32.Agent.eb (DrWEB: Trojan.NtRootKit.24
- c:\\windows\\system32\\svshost.dll - Backdoor.Win32.Small.ls (DrWEB: BackDoor.Dld.1162)
- c:\\windows\\system32\\winload.dll - Trojan-Spy.Win32.Small.gv (DrWEB: Trojan.PWS.Grabber)
Уважаемый(ая) AndreyG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.