-
Junior Member
- Вес репутации
- 63
трояны и прочие
Добрый день!
Помогите, пожалуйста, почистить комп:
были жалобы на постоянное выключение медленную работу, не был установлен никакой антивирус вообще.
после сканирования nod нашел 72 подозрительных файла
что-то удалил, что-то я почистила вручную...
некоторые файлы (windows\system32\spoolsv.exe windows\system32\taskmgr.exe windows\system32\dllcache\alg.exe windows\system32\dllcache\ctfmon.exe windows\system32\dllcache\taskmgr.exe) удалять не рискнула, так как вроде системные и лежат на своих местах.
сделаны пока только логи AVZ (после чистки в безопасном режиме)
до HiJackThis добраться не успела - может посмотрите пока что есть?
заранее благодарю
Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\asycfil.dll','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Duf54.sys','');
QuarantineFile('C:\WINDOWS\system32\winactived.bat','');
DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\asycfil.dll');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\WINDOWS\system32\winactived.bat');
BC_ImportAll;
BC_DeleteSvc('protect');
BC_DeleteSvc('Duf54');
BC_DeleteSvc('FCI');
BC_DeleteSvc('DefLib');
BC_DeleteSvc('ICF');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18773
2. Повторите логи
-
-
Junior Member
- Вес репутации
- 63
В карантине пусто-ничего не попало.
Правда часть подозрительных файлов я удалила сама сразу же после вчерашних логов.
но вот этот "товарищ" C:\WINDOWS\System32\drivers\protect.sys точно был жив и здоров. почему не попадает в карантин-не знаю.
при загрузке виндовса нод на него заругался - Спам-троян, но сделать ничего не смог
в автозагрузке висел некий spoolsv.exe, после того как его отключила и перезагрузилась нод смог прибить protect.sys
но...
логи AVZ в обычном режиме не делаются - комп уходит на перезагрузку где-то в середине.
посмотрите, пожалуйста, что получилось
Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Duf54');
SetServiceStart('Duf54', 4);
BC_DeleteSvc('Duf54');
BC_DeleteSvc('protect');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Сделайте новый лог syscheck.
Пришлите из карантина AVZ файл C:\WINDOWS\system32\asycfil.dll
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
файл C:\WINDOWS\system32\sрoоlsv.exe создается снова и снова (не считая оригинального от microsoft) и нод его ловит и так по кругу
syscheck это скрипт номер 2 или 3?
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.
-
Junior Member
- Вес репутации
- 63
Файл сохранён как080228_054352_2008-02-28_47c69e780f5fc.zipРазмер файла82417MD5a1ac11a3e203e8741367b738b24ac9c1это сегодняшний карантин
как из него прислать C:\WINDOWS\system32\asycfil.dll?
-
Выполните такой скрипт:
Код:
begin
ClearQuarantine;
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Duf54\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteSvc('Duf54');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteFile('C:\WINDOWS\system32\asycfil.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Приложите сюда файл boot_clr.log из папки с AVZ.
Добавлено через 58 секунд
P.S.: asycfil.dll - Trojan.Win32.Pakes.cdw
Последний раз редактировалось Bratez; 28.02.2008 в 14:52.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
скрипт выполнился без ошибок, но после перезагрузки виндовс не смог запуститься ни в обычном, ни в безопасном режиме
пришлось загрузить последнюю работоспособную конфигурацию
файла boot_clr.log в папке AVZ нет
может этот файлик asycfil.dll просто вручную удалить?
он жив-себе-здоров пока, лежит в прежнем месте
-
Этот удалите, конечно, он зловредный, только проблема не в нем.
Если есть возможность загрузиться в консоль восстановления или LiveCD, надо найти и удалить C:\WINDOWS\System32\drivers\Duf54.sys.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
честно говоря я не знаю, что значит "загрузиться в консоль"
загрузочного диска в виндовсом тоже под рукой нет
как-то еще можно его удалить?
и что он делает-то, этот вирус?
-
Давайте еще вот такой скрипт попробуем:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Duf54', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteSvc('Duf54');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteFile('C:\WINDOWS\system32\asycfil.dll');
BC_Activate;
RebootWindows(true);
end.
и новый лог syscheck.
Если не поможет, придется применять тяжелую артиллерию
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
так.
есть диск с виндовсом
могу войти в консоль восстановления.
но поскольку вижу ее первый раз, возникает совершенно глупый вопрос:
что надо сделать, чтоб удалить там файл этот зловредный?
там командная строка с\windows_
что писать далее?
(только не смейтесь, я правда не знаю...)
сейчас попробую последний скрипт
-
В консоли надо набрать такие команды:
cd system32\drivers
del Duf54.sys
exit
Добавлено через 35 секунд
После каждой давить Enter.
Последний раз редактировалось Bratez; 28.02.2008 в 15:52.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
после c\windows тоже enter или прямо продолжать писать?
скрипт вогнал комп в ступор
вот лог
Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.
-
C:\WINDOWS\> в начале командной строки - это "приглашение", т.е. сразу вводите команду. Приглашение информирует о том, в каком каталоге мы сейчас находимся, т.е. после первой команды оно должно принять вид:
C:\WINDOWS\system32\drivers\>
Добавлено через 1 минуту
Скрипт не помог, так что вся надежда на вас и консольные команды
Последний раз редактировалось Bratez; 28.02.2008 в 16:03.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
спасибо
информатика-то в институте была давно-о-о...
завтра буду пробовать
кстати, а тяжелая артиллерия это что? переустановка системы?
-
Нет, это IceSword или Rootkit Unhooker
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
скачала на всякий случай и ту и другую...
в readme к IceSword обнадеживающая надпись типа "люди должны использовать эту утилиту на свой страх и риск"
Последний раз редактировалось lemurz9; 28.02.2008 в 16:44.
-
в Rootkit Unhooker - нужно было написать что-то пострашнее ....
-