-
Junior Member
- Вес репутации
- 61
Атака троянов
После заражения компютера (начал ругатся Norton AntiVirus, начали запускаться какие-то командные файлы и появился ярлык на рабочем столе), я с помощью DrWeb CureIT (в безопасном режиме) удалил несколько троянов. Перестал ругаться Norton AntiVirus, но все равно что-то очень быстро расходует интернетовский трафик.
Очень надеюсь на Вашу помощь (протоколы прилагаю)
Последний раз редактировалось Av64; 14.05.2008 в 14:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\bndsrdkq.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Otp52.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Otp52.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
плюс ещё парочку
Код:
begin
QuarantineFile('C:\WINDOWS\trailer.scr','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
end.
-
-
Junior Member
- Вес репутации
- 61
Карантин 071007_083204_virus_4708dfd483ca8.zip отправил, часть файлов добавил вручную (меню Добавление в карантин по списку программы AVZ). Ситуация после скрипта не изменилась, интернетовский трафик по прежнему расходывается.
И еще об одном обстоятельстве забыл написать - при отключении модема через сетевое окружение, винда выходит на синий экран смерти, это же произошло и после выполнения скрипта.
-
Очистите временные файлы IE.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ISR4VFHX\system[1].exe');
DeleteFile('C:\WINDOWS\bndsrdkq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://stat.flashget.com/clientaction/install/flashget/flashget/1.80en/01B13A734E3BDBFB1E3EA8747C6C33A0/0/01B13A734E3BDBFB1E3EA8747C6C33A0
O2 - BHO: MSVPS System - {3ADCBC16-19FA-4C59-9C22-E17C71B5FD7A} - C:\WINDOWS\bndsrdkq.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Временные файлы удалил
Скрипт выполнил (скрипт 3 выполняется только при отключеной сети, при включеной выходит на экран смерти (STOP: 0x0000007E (....))
Строчки профиксил
Высылаю последние логи
Последний раз редактировалось Av64; 14.05.2008 в 14:33.
-
выполните скрипт...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 61
Карантин отправил 071007_112703_virus_470908d7012c1.zip
-
C:\Program Files\Microsoft Help\Microsoft.System.Help.dll -Trojan.Win32.Bho.es
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Av64; 14.05.2008 в 14:33.
-
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll');
DeleteFile('%LOCAL_SETTINGS%\temp\0.exe');
DeleteFile('%LOCAL_SETTINGS%\temp\msddx.dll');
DeleteFile('%LOCAL_SETTINGS%\temp\msqnx.dll');
DeleteFile('%LOCAL_SETTINGS%\temp\mxstat.exe');
DeleteFile('%LOCAL_SETTINGS%\temp\nsstat.exe');
DeleteFile('%LOCAL_SETTINGS%\temp\qnxplugin.dll');
DeleteFile('%LOCAL_SETTINGS%\temp\rep.exe');
DeleteFile('%LOCAL_SETTINGS%\temp\videoaccesscodecinstall.exe');
DeleteFile('%LOCAL_SETTINGS%\temp\vpnsxd.exe');
DeleteFile('%PROGRAM_FILES%\newmediacodec\newmediacodec.ocx');
DeleteFile('%PROGRAM_FILES%\videoaccesscodec\videoaccesscodec.ocx');
DeleteFile('%SYSTEM%\syswin6000.exe');
DeleteFile('%WINDOWS%\duocore.dll');
DeleteFile('%WINDOWS%\msddx.dll');
DeleteFile('%WINDOWS%\msmdev.dll');
DeleteFile('%WINDOWS%\msmhost.dll');
DeleteFile('%WINDOWS%\msqnx.dll');
DeleteFile('%WINDOWS%\mxduo.dll');
DeleteFile('%WINDOWS%\nsduo.dll');
DeleteFile('%WINDOWS%\qnxplugin.dll');
DeleteFile('%WINDOWS%\wmpconf.dll');
DeleteFile('%WINDOWS%\wmpdev.dll');
DeleteFile('%WINDOWS%\wmpenv.dll');
DeleteFile('%WINDOWS%\wmphost.dll');
DeleteFile('0.exe');
DeleteFile('c.exe');
DeleteFile('d_inst.exe');
DeleteFile('dkb10018912.exe');
DeleteFile('dmxmsl.exe');
DeleteFile('dmxpgl.exe');
DeleteFile('duocore.dll');
DeleteFile('econf32.exe');
DeleteFile('install_cb.exe');
DeleteFile('install_cn.exe');
DeleteFile('install_cr.exe');
DeleteFile('main.exe');
DeleteFile('microsoft.system.help.dll');
DeleteFile('msdrv.exe');
DeleteFile('mslogger.exe');
DeleteFile('msmdev.dll');
DeleteFile('mxduo.dll');
DeleteFile('mxstat.exe');
DeleteFile('newmediacodec.ocx');
DeleteFile('newmediacodecinstaller (2).exe');
DeleteFile('newmediacodecinstaller.exe');
DeleteFile('nsduo.dll');
DeleteFile('sconf32.dll');
DeleteFile('setup.exe');
DeleteFile('system(2).exe');
DeleteFile('system.dll');
DeleteFile('system.exe');
DeleteFile('theclicker.exe');
DeleteFile('videoaccesscodec.ocx');
DeleteFile('videoaccesscodecinstall (1).exe');
DeleteFile('videoaccesscodecinstall (2).exe');
DeleteFile('vpncore.exe');
DeleteFile('wmpconf.dll');
DeleteFile('wmpdev.dll');
DeleteFile('wmpenv.dll');
DeleteFile('wmphost.dll');
DeleteFile('wmplayer.dll');
DeleteFile('wmsound.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи....
Последний раз редактировалось V_Bond; 07.10.2007 в 22:35.
-
-
Junior Member
- Вес репутации
- 61
При выполнении скрипта AVZ выдает ошибку ')' expected в позиции 57:14
-
Подправил скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll');
DeleteFile('%LOCAL_SETTINGS%\ temp\ 0.exe');
DeleteFile('%LOCAL_SETTINGS%\ temp\ msddx.dll');
DeleteFile('%LOCAL_SETTINGS%\ temp\ msqnx.dll');
DeleteFile('%LOCAL_SETTINGS%\ temp\ mxstat.exe');
DeleteFile('%LOCAL_SETTINGS%\ temp\ nsstat.exe');
DeleteFile('%LOCAL_SETTINGS%\ temp\ qnxplugin.dll');
DeleteFile('%LOCAL_SETTINGS%\ temp\ rep.exe');
DeleteFile('%LOCAL_SETTINGS%\ temp\ videoaccesscodecinstall.exe');
DeleteFile('%LOCAL_SETTINGS%\ temp\ vpnsxd.exe');
DeleteFile('%PROGRAM_FILES%\ newmediacodec\ newmediacodec.ocx');
DeleteFile('%PROGRAM_FILES%\ videoaccesscodec\ videoaccesscodec.ocx');
DeleteFile('%SYSTEM%\ syswin6000.exe');
DeleteFile('%WINDOWS%\ duocore.dll');
DeleteFile('%WINDOWS%\ msddx.dll');
DeleteFile('%WINDOWS%\ msmdev.dll');
DeleteFile('%WINDOWS%\ msmhost.dll');
DeleteFile('%WINDOWS%\ msqnx.dll');
DeleteFile('%WINDOWS%\ mxduo.dll');
DeleteFile('%WINDOWS%\ nsduo.dll');
DeleteFile('%WINDOWS%\ qnxplugin.dll');
DeleteFile('%WINDOWS%\ wmpconf.dll');
DeleteFile('%WINDOWS%\ wmpdev.dll');
DeleteFile('%WINDOWS%\ wmpenv.dll');
DeleteFile('%WINDOWS%\ wmphost.dll');
DeleteFile('0.exe');
DeleteFile('c.exe');
DeleteFile('d_inst.exe');
DeleteFile('dkb10018912.exe');
DeleteFile('dmxmsl.exe');
DeleteFile('dmxpgl.exe');
DeleteFile('duocore.dll');
DeleteFile('econf32.exe');
DeleteFile('install_cb.exe');
DeleteFile('install_cn.exe');
DeleteFile('install_cr.exe');
DeleteFile('main.exe');
DeleteFile('microsoft.system.help.dll');
DeleteFile('msdrv.exe');
DeleteFile('mslogger.exe');
DeleteFile('msmdev.dll');
DeleteFile('mxduo.dll');
DeleteFile('mxstat.exe');
DeleteFile('newmediacodec.ocx');
DeleteFile('newmediacodecinstaller (2).exe');
DeleteFile('newmediacodecinstaller.exe');
DeleteFile('nsduo.dll');
DeleteFile('sconf32.dll');
DeleteFile('setup.exe');
DeleteFile('system(2).exe');
DeleteFile('system.dll');
DeleteFile('system.exe');
DeleteFile('theclicker.exe');
DeleteFile('videoaccesscodec.ocx');
DeleteFile('videoaccesscodecinstall (1).exe');
DeleteFile('videoaccesscodecinstall (2).exe');
DeleteFile('vpncore.exe');
DeleteFile('wmpconf.dll');
DeleteFile('wmpdev.dll');
DeleteFile('wmpenv.dll');
DeleteFile('wmphost.dll');
DeleteFile('wmplayer.dll');
DeleteFile('wmsound.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 61
Высылаю логи после скрипта
Трафик что-то продолжает жрать...
Последний раз редактировалось Av64; 14.05.2008 в 14:33.
-
выполните скрипт...
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Otp52','Start');
RebootWindows(true);
end.
после перезагрузки еще один....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Otp52.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('яяяя�к›','');
DeleteFile('C:\WINDOWS\system32\drivers\Otp52.sys');
BC_DeleteSvc('Otp52');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи...
-
-
Junior Member
- Вес репутации
- 61
Карантин выгрузил 071007_145325_virus_470939359ec6c.zip
Логи высылаю
Последний раз редактировалось Av64; 14.05.2008 в 14:33.
-
Otp52.sys - Rookit.Win32.Agent.js
выполните скрипт в .Safe mode
Код:
begin
DeleteFile('C:\WINDOWS\system32\drivers\Otp52.sys');
DeleteFile('Otp52.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
сделайте лог ...
http://virusinfo.info/showthread.php?t=10387
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил
Трафик уже вроде бы никто не жрет
3-й скрипт в AVZ уже выполнился при включеном сетевом соединении (на экран смерти уже не вышел)
Высылаю последние логи
Последний раз редактировалось Av64; 14.05.2008 в 14:33.
-
больше не не вижу ничего зловредного ...
-
-
Junior Member
- Вес репутации
- 61