Junior Member
Вес репутации
60
Невозможно избавиться от вирусов
На протяжении двух месяцев попытки избавиться от вирусов при помощи антивирусных программ Avast и Panda не привыли к желаемому результату. После перезагрузки опять появляются Win32: Qhost-AYU, Agent-GRW, Boran-J, Cimnus-d ( по Avast) и неисчислимое количество зараженных файлов. Конечно можно все форматнуть, но где гаратия что это не повториться. Прошу помощи.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\2f61.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [MSDWG32] LYLoadbr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDCG32 ] LYLeador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDOG32] LYLoador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDSG32] LYLoadar.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDHG32] LYLoadhr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDQG32] LYLoadqr.exe
O4 - HKLM\..\Policies\Explorer\Run: [vsb3nbsr] rundll32 "C:\WINDOWS\Downlo~1\vsb3nbsr.dll",start
O4 - HKLM\..\Policies\Explorer\Run: [n2xmqi] rundll32 "C:\WINDOWS\Downlo~1\n2xmqi.dll",Run
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dqoqc5gxbf.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\svj0e24.sys','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\2f61.dll','');
QuarantineFile('LYLoadqr.exe','');
QuarantineFile('LYLoador.exe','');
QuarantineFile('LYLoadhr.exe','');
QuarantineFile('LYLoadbr.exe','');
QuarantineFile('LYLoadar.exe','');
QuarantineFile('LYLeador.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Downlo~1\vsb3nbsr.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\n2xmqi.dll','');
QuarantineFile('C:\WINDOWS\system32\f6ce1.exe','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
QuarantineFile('C:\WINDOWS\system32\flym.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\zntA835.tmp');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_QrSvc('A3A0F974');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18410 ).
I am not young enough to know everything...
Junior Member
Вес репутации
60
Выполните скрипт:
Код:
begin
BC_DeleteSvc('svj0e24');
BC_DeleteSvc('ms_2fax');
BC_DeleteSvc('A3A0F974');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\svj0e24.sys');
BC_Activate;
RebootWindows(true);
end.
Очистите временные файлы IE и папку
C:\Documents and Settings\Виктор\Local Settings\Temp
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
выполнено кроме очистки C:\Documents and Settings\Виктор\Local Settings\Temp папка: Local Settings\Temp мне не видна логи прикрепляю
Вложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('svj0e24');
SetServiceStart('svj0e24', 4);
DeleteFile('C:\WINDOWS\system32\flym.dll');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\svj0e24.sys');
DelBHO('{BCBD80C9-6AD7-48ed-8DF1-6963414B3649}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('svj0e24');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте еще раз лог syscheck (п.10 правил).
Добавлено через 1 минуту
Эти совсем свеженькие:
flym.dll - not-a-virus:AdWare.Win32.BHO.abm
svj0e24.sys - Trojan-Downloader.Win32.Hmir.aex
Добавлено через 1 минуту
Чтобы увидеть Local Settings, надо включить показ скрытых и системных.
Последний раз редактировалось Bratez; 21.02.2008 в 17:04 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
Вложения
Результат есть. Остался еще один зловред и пара пустышек.
Выполните следующий скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('mxdispdr');
SetServiceStart('mxdispdr', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
BC_ImportALL;
BC_DeleteSvc('mxdispdr');
BC_DeleteSvc('Adobe LM Service');
BC_DeleteSvc('gusvc');
BC_DeleteSvc('Pdpmusltih');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Вложения
Junior Member
Вес репутации
60
минутку забыл 11 12 13 14 пункты
Junior Member
Вес репутации
60
Вложения
Вот теперь все нормально.
Остались огрызки от старой версии Касперского и ненужного уже кряка SP1, которые следует подчистить. Также посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Добавлено через 2 минуты
Еще и от Панды хвосты есть
Последний раз редактировалось Bratez; 21.02.2008 в 17:48 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
если только оставить автозапуск программ с CDROM?
Добавлено через 1 минуту
Как убрать хвосты?
Последний раз редактировалось Victor-S; 21.02.2008 в 17:51 .
Причина: Добавлено
Вот вам скрипт для очистки от всего ненужного.
Только если есть локалка, уберите первую строчку после begin.
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName( 'avldr');
DelWinlogonNotifyByKeyName( 'reset5');
BC_DeleteSvc('NETIMFLT');
BC_DeleteSvc('KAVMonitorService');
BC_DeleteSvc('AVPCC');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\netimflt.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\klif.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\reset5.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\avldr.dll');
BC_Activate;
RebootWindows(true);
end.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Все сделал. Даже не вериться что все чисто. Очень благодарен. Большое спасибо.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\виктор\\local settings\\temp\\temporary internet files\\content.ie5\\5w81c5qo\\hbd[1].exe - not-a-virus:AdWare.Win32.BHO.tm (DrWEB: archive: Trojan.Click.5021) c:\\documents and settings\\виктор\\local settings\\temp\\znta835.tmp - not-a-virus:AdWare.Win32.BHO.tm (DrWEB: archive: Trojan.Click.5021) c:\\windows\\system32\\drivers\\mxdispdr.sys - Trojan.Win32.Inject.xj (DrWEB: Trojan.NtRootKit.83 c:\\windows\\system32\\drivers\\svj0e24.sys - Trojan-Downloader.Win32.Hmir.aex (DrWEB: Trojan.DownLoader.49230) c:\\windows\\system32\\flym.dll - not-a-virus:AdWare.Win32.BHO.abm (DrWEB: Adware.Baidu.366)