Сейчас гляну карантин
Сейчас гляну карантин
Microsoft Most Valuable Professional in Consumer Security
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Получил.
Жду с нетерпением дальнейших действий
Последний раз редактировалось asale; 02.03.2008 в 10:22.
C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll - Trojan.Win32.Agent.fhg
C:\Program Files\Helper\1204217203.dll - not-a-virus:AdWare.Win32.E404.a
C:\WINDOWS\System32\AcroCLinker.dll - Trojan-Clicker.Win32.Agent.ny
c:\windows\shell.exe - Trojan.Win32.Qhost.aes
c:\windows\system32\winlogon.exe - Trojan.Win32.Patched.q
- придеться заменять из дистрибутива
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe - Trojan.Win32.Qhost.aes
C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe - Trojan.Win32.Qhost.aes
C:\WINDOWS\System32\printer.exe - Trojan.Win32.Qhost.aes
C:\WINDOWS\System32\spoolvs.exe - Trojan.Win32.Qhost.aes
Добавлено через 7 минут
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\netrfds364.exe',''); DeleteFile('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\WINDOWS\System32\printer.exe'); DeleteFile('C:\WINDOWS\System32\spoolvs.exe'); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\AcroCLinker.dll'); DeleteFile('c:\program files\helper\1204217203.dll'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IZMJQP8X\newrt[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPELMTOP\a8f5a020e4b833865a1034489887c8b9[1].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\s32[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\tor[1].exe'); DeleteFile('C:\Documents and Settings\Пользователь\Application Data\installer[1].exe'); DeleteFile('C:\Documents and Settings\Пользователь\Application Data\printer.exe'); DeleteFile('C:\Program Files\Helper\1204217203.dll'); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('C:\WINDOWS\system32\netrfds364.exe'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DelBHO('{A1FF3ECE-0EC3-4035-A67D-726A574748B8}'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18925
Последний раз редактировалось akoK; 01.03.2008 в 14:42. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Сообщение от akoK
А что делать с этими файлами?
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 2 минутыКод:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe O2 - BHO: CLinkerBHO Class - {A1FF3ECE-0EC3-4035-A67D-726A574748B8} - C:\WINDOWS\System32\AcroCLinker.dll O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B8622FF} - C:\Program Files\Helper\1204217203.dll O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\printer.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe O4 - Startup: findfast.exe O4 - Global Startup: autorun.exe O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Ничего, это для индексации поисковиками.
Кроме
c:\windows\system32\winlogon.exe - Trojan.Win32.Patched.q
- придеться заменять из дистрибутива или вылечить(мой KIS вылечил)
Добавлено через 1 минуту
Да повторите логи virusinfo_syscure обязательно(очень помог почистить
Последний раз редактировалось akoK; 01.03.2008 в 14:45. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
А как попробовать вылечить?Пофиксить в HijackThis следующие строчки
Кроме
c:\windows\system32\winlogon.exe - Trojan.Win32.Patched.q
- придеться заменять из дистрибутива или вылечить(мой KIS вылечил)
Добавлено через 1 минуту
Да повторите логи virusinfo_syscure обязательно(очень помог почистить
Корректнее заменить из установочного диска...найти winlogon.ex_ заменить _ на е и в безопасном режиме подсунуть вместо зараженного
Или, выполнить команду (пуск - выполнить) - sfc /scannow - обязателен установочный диск
Microsoft Most Valuable Professional in Consumer Security
А что такое KIS и как с помощью его вылечить?
Новый лог во вложении.
Что можно еще сделать?
Последний раз редактировалось asale; 02.03.2008 в 10:22.
Нет, далеко не в порядке.
1. Скачайте http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ - он и без КИСа сможет вылечить winlogon... Но пока не запускайте
2. Отключаемся от сети
3. Скачайте .... меню File - файл C:\WINDOWS\System32\Drivers\Yhn45.sys -force delete ...
затем выполните скрипт авз ...
4. Очистьте временные файлы IEКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; DelCLSID('B33DE756-DEEE-4D7A-87DB-1D905BA2AA21'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IZMJQP8X\newrt[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPELMTOP\a8f5a020e4b833865a1034489887c8b9[1].zip'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\s32[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q3QP29YX\tor[1].exe'); DeleteFile('C:\Documents and Settings\Пользователь\Application Data\installer[1].exe'); DeleteFile('C:\Documents and Settings\Пользователь\Application Data\printer.exe'); DeleteFile('C:\Program Files\Helper\1204217203.dll'); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\netrfds364.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('C:\Program Files\SanitarDiska\secure_del.dll'); BC_ImportDeletedList; BC_DeleteSvc('symavc32'); BC_DeleteSvc('NdisWon'); BC_DeleteSvc('Yhn45'); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
5. Сделайте проверку скачанным AVPTool - долечится и winlogon.exe
6. Повторите лог syscure
PS:
А вот и причина всего:
Не система, а дыра...Код:Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Новый лог.
Есть что-нибудь из хороших новостей?
По поводу winlogon появлятся информация, что файл будет вылечен при перезагрузке компа, перезагружаю, проверяю - таже информация. Он вылечен?
Последний раз редактировалось asale; 02.03.2008 в 10:22.
ICE Swordom удалить ... C:\WINDOWS\System32\drivers\Ygc62.sys
пофиксите ...
выполните скрипт ....Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
повторите логи ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Ygc62.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Новые логи.
Немного лучше?
Последний раз редактировалось asale; 02.03.2008 в 10:22.
нет не лучше ... вы Ygc62.sys удалили ? - нет ... также нужно удалить ICE Swordom C:\WINDOWS\SYSTEM32\WLCtrl32.dll
У меня пропал пункт удаление программ: если по ссылке из справки появляется надписьм- операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети
вернем потом... ice sword-ом удалите, что нужно
Извиняюсь, удалил, новые логи.\
А сейчас как?
Последний раз редактировалось asale; 02.03.2008 в 10:21.
Лог virusinfo_syscure повторите...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Ygc62.sys'); BC_ImportDeletedList; BC_DeleteSvc('Ygc62'); ExecuteSysClean; ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Новые логи во вложении
Уважаемый(ая) asale, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
