-
Junior Member
- Вес репутации
- 61
Подцепил трояна(ов) из Интернета, svchost, LogCrypt, actcontroller, ip6fw. Не могу избавится.
Сначала с какого-то момента во время просмотра сайтов заметил, что трафик стал улетать очень быстро. Потом после следующего включения компа, он напрочь отказывался перегружаться и уходил в ребут, или выдавал синий экран смерти. Загрузиться удавалось только в безопасном режиме. В безопасном режиме проверил NOD32 тот обнаружил что файл svchost.exe видимо заражен вирусом. Также проверил AVZ - тот тоже нашел несколько зараженных файлов (ip6fw.dll например) Удаление его в общем никаких результатов не принесло и я переустановил винду поверх старой, без форматирования диска C:\
Компьютер стал загружаться, но трафик по прежнему жрется очень сильно. Также в system32\drivers есть файл ip6fw.dll на который в первый раз ругался AVZ, но на этот раз не ругается. Проверил CureIT-ом, тот нашел несколько троянов. Его лог и остальные (AVZ, HIJACK) прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Xqb33\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Xqb33');
BC_Activate;
RebootWindows(true);
end.
Потом ещё один
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 61
Ок, но ответить смогу только завтра, поскольку комп домашний.
-
Junior Member
- Вес репутации
- 61
Скрипты выполнил, логи прилагаю.
Последний раз редактировалось Shu_b; 20.02.2008 в 14:14.
-
Junior Member
- Вес репутации
- 61
-
пофиксите ....
Код:
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
повторите ...
hijackthis.log
-
-
Junior Member
- Вес репутации
- 61
Строку пофиксил, вроде исчезла.
CureIt в безопасном режиме вирусов не нашел.
Логи прилагаю.
Вот еще кое-что подозрительное:
1.
В папке c:\windows\ есть файлы типа
3184958.exe_
3399616.exe_
с числовыми названиями и расширением exe_
на которые CureIt в прошлый раз ругался как на инфицированные трояном. Счас правда не ругается.
2.
В службах висит подозрительная служба - FCI
правда я ее отключил
Исполняемй файл: C:\WINDOWS\system32\svchost.exe:ext.exe
Что это за служба и как ее снести?
3.
В Просмотре событий есть подозрительные строки (раньше их не было)
а.Источник: NMIndexingService
Не найдено описание для события с кодом ( 0 ) в источнике ( NMIndexingService ).
Возможно, на локальном компьютере нет нужных данных в реестре
или файлов DLL сообщений для отображения сообщений удаленного компьютера.
Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
- дополнительные сведения об этом содержатся в справке.
В записи события содержится следующая информация: Service started.
б.Источник: redbook
Это устройство не поддерживает воспроизведение оцифрованного звука.
в.sfsync02
Не найдено описание для события с кодом ( 12 ) в источнике ( sfsync02 ).
Возможно, на локальном компьютере нет нужных данных в реестре
или файлов DLL сообщений для отображения сообщений удаленного компьютера.
Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
- дополнительные сведения об этом содержатся в справке.
В записи события содержится следующая информация: .
г.sfsync04
Не найдено описание для события с кодом ( 1 ) в источнике ( sfsync04 ).
Возможно, на локальном компьютере нет нужных данных в реестре
или файлов DLL сообщений для отображения сообщений удаленного компьютера.
Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
- дополнительные сведения об этом содержатся в справке.
В записи события содержится следующая информация: .
-
Junior Member
- Вес репутации
- 61
Вот собственно лог HIJACK-а
-
Обновите базы AVZ и повторите сканирование (лог syscure).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
а что за зверей то я нахватал. можно узнать?
что именно они делают - высылают куда-нибудь пароли или портят данные и почему трафик входящий резко вырос?
-
а что за зверей то я нахватал. можно узнать?
А Вы карантин не прислали... мы и не знаем
-
-
Junior Member
- Вес репутации
- 61
а вот и он
пардон, приходится отвечать с запозданием, т.к. зараженный комп домашний, а с него в сеть пока не выхожу. только с работы.
-
в логах чисто ...
карантин вы так и не прислали ...
-
-
Junior Member
- Вес репутации
- 61
а карантин - это virusinfo_cure.zip или что?
Добавлено через 7 минут
а, понял.
ок, пришлю сегодня
Последний раз редактировалось marvak; 22.02.2008 в 10:15.
Причина: Добавлено
-
уберите зверей из темы .... их нужно отсылать по ссылке над темой ...
-
-
Junior Member
- Вес репутации
- 61
зверей из темы убрал, карантин закачал по ссылке.
-
WLCtrl32.dll - Email-Worm.Win32.Agent.e
-
-
Junior Member
- Вес репутации
- 61
понятно. ну а система то сейчас чистая?
-
Сообщение от
V_Bond
в логах чисто ...
...
...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\wlctrl32.dll - Email-Worm.Win32.Agent.e (DrWEB: Trojan.DownLoader.47421)
-