Лечение вирусов

**Ven** · 01.03.2008, 15:47

Стоял 3-й NOD. Удалил, поставил McAfee VS Ent 8.5 - ничего не нашел. Запустил AVZ - получил ребут. Удалил McAfee, сделал проверку.
Явно что-то еще осталось.
Логи прикрепил. Прошу помочь.
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**akok** · 01.03.2008, 15:52

McAfee - осталась

**Bratez** · 01.03.2008, 15:55

Богато!

Пока вот так, дальше посмотрим -
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Bhn16');
 SetServiceStart('Bhn16', 4);
 QuarantineFile('C:\WINDOWS\system32:svchosm.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
 QuarantineFile('C:\WINDOWS\system32\mms32pnqpn.dll','');
 QuarantineFile('C:\WINDOWS\system32:svchosm.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn16.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe','');
 DeleteFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Bhn16.sys');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32:svchosm.exe');
 DeleteFile('C:\WINDOWS\system32\mms32pnqpn.dll');
 DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 DeleteFile('C:\WINDOWS\system32:svchosm.exe:$DATA');
BC_ImportDeletedList;
BC_DeleteSvc('Bhn16');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18937).
Сделайте новые логи.

**Ven** · 01.03.2008, 15:56

ОК, я поищу утилиту для полного удаления, хотя странно вообще

Это единственная проблема, которая видна в логах?

**Bratez** · 01.03.2008, 15:58

Сообщение от Ven

Это единственная проблема, которая видна в логах?

Если бы!

**akok** · 01.03.2008, 16:00

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 	O21 - SSODL: msaa32.dll - {687D7EB1-5A8E-3740-01C8-19F50001492F} - (no file)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\mms32pnqpn.dll

**Ven** · 01.03.2008, 16:07

Два врача - это как-то непривычно

Подчиняюсь сразу двум

Скрипт выполнил.
Хиджаком поправил.
Логи прикрепил.

**Ven** · 01.03.2008, 16:09

Карантит прикрепил.

**Bratez** · 01.03.2008, 16:13

Все на месте. У вас скрипт выполнился или нет?

**Ven** · 01.03.2008, 16:14

Да...комп ушел в ребут. Может логи не заменяются и надо удалять старые?

**Bratez** · 01.03.2008, 16:21

А собщения об успешном выполнении значит не было?

Давайте так, чтобы долго не мучиться:
1. Скачайте эту программу http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. File - Force Delete вот этим двум файлам:
C:\WINDOWS\System32\Drivers\Bhn16.sys
C:\WINDOWS\System32\Drivers\Amw66.sys
3. Перезагрузитесь и выполните скрипт из поста #2.
4. Сделайте новые логи.

**Ven** · 01.03.2008, 16:22

Выполнил еще раз скрипт...комп сам перезагружается, сл-но я не знаю выполнен скрипт или комп уходит в ребут по причине магнитных бурь в моей голове

После ребута переименовал папку ЛОГ, сделал новый лог...папка ЛОГ создалась сама, конечно же.

**Ven** · 01.03.2008, 16:26

Да, сообщения об успешном выполнении скрипта я не видел.
Файлики убил. Иду на ребут.

**Ven** · 01.03.2008, 16:41

Теперь ребут по окончанию выполнения скрипта был корректным - с завершением работы. Вот новые логи.

**Bratez** · 01.03.2008, 16:47

Еще вот такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Ubg51');
 SetServiceStart('Ubg51', 4);
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\qtprot.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg51.sys','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Ubg51.sys');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Ubg51');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Карантин пришлите весь.
И еще раз лог syscheck.

**Ven** · 01.03.2008, 17:01

Вот лог.

**Ven** · 01.03.2008, 17:02

Карантин прислал.

**Bratez** · 01.03.2008, 17:07

Упрямые они у вас!
Удалите IceSword'ом (force delete) эти:
C:\WINDOWS\System32\Drivers\Ubg51.sys
C:\WINDOWS\system32\WLCtrl32.dll

а затем выполните скрипт:

Код:

begin
 BC_DeleteSvc('qtprot');
 BC_DeleteSvc('hdport');
 BC_DeleteSvc('Amw66');
 BC_DeleteSvc('Ubg51');
 BC_DeleteFile('C:\WINDOWS\system32\hdport.sys');
 BC_DeleteFile('C:\WINDOWS\system32\qtprot.sys');
BC_Activate;
RebootWindows(true);
end.

Сделайте логи syscheck и HijackThis.

**rubin** · 01.03.2008, 17:07

Backdoor.Win32.Delf.dfs C:\WINDOWS\system32\qtprot.sys
Trojan-Downloader.Win32.Agent.jjt C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
Trojan-Downloader.Win32.Diehard.dr C:\WINDOWS\system32\drivers\ip6fw.sys
Trojan-Dropper.Win32.Small.bfr C:\WINDOWS\Temp\winlogon.exe
mssrv32.exe и wctrl32.dll - свежие

**Ven** · 01.03.2008, 17:18

Логи.

Лечение вирусов (заявка № 18937)

Опции темы