Junior Member
Вес репутации
59
Одолели трояны.
При включении компа пытается запускаться IE. При сканировании DrWeb
находит 17 вирусов. При перезагрузке компа часть вирусов восстанавливается. EXE файлы с вирусами прямо удалить не удается.
Прошу помощи. Заранее благодарю. Требуемые файлы прилагаются.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\BOOKSHELF4_12\TRBookshelf_.dll.button.js','');
QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
BC_DeleteSvc('taskmon.sys');
QuarantineFile('C:\WINDOWS\System32\taskmon.sys','');
BC_DeleteSvc('Uyd03');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uyd03.sys','');
BC_DeleteSvc('riode32');
QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys','');
BC_DeleteSvc('kbd');
QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\WINDOWS\System32\Drivers\NTPrime.sys','');
BC_DeleteSvc('CcEvtSvc');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\msram.dll','');
QuarantineFile('C:\WINDOWS\drnpfdxrqv.dll','');
QuarantineFile('C:\WINDOWS\altvxvm.dll','');
QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
DeleteFile('c:\windows\system32\maxpaynow1.exe');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
DeleteFile('C:\WINDOWS\altvxvm.dll');
DeleteFile('C:\WINDOWS\drnpfdxrqv.dll');
DeleteFile('C:\WINDOWS\system32\msram.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uyd03.sys');
DeleteFile('C:\WINDOWS\System32\taskmon.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('crypts.dll');
DeleteFile('winmed.exe');
DeleteFile('C:\Program Files\BOOKSHELF4_12\TRBookshelf_.dll.button.js');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
DelBHO('{E50767CC-F1D8-41ef-A325-AD079064C0D2}');
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
DelBHO('{B3A00219-19D4-4966-AECD-8ED34AB9EF7A}');
DelBHO('{864C6115-9FB8-46F9-9E8C-157F4F6FCCA3}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
карантин из темы убрать .... загрузить по ссылке над темой ...
логи смотрю ...
Добавлено через 7 минут
остались только самые живучие ...
скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Nru15.sys - force delete
затем выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{E50767CC-F1D8-41ef-A325-AD079064C0D2}');
BC_DeleteSvc('Lxw66');
QuarantineFile('Lxw66.sys','');
BC_DeleteSvc('Nru15');
BC_DeleteSvc('Google Online Search Service');
QuarantineFile('C:\WINDOWS\System32\winlugan.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nru15.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Nru15.sys');
DeleteFile('C:\WINDOWS\System32\winlugan.exe');
DeleteFile('Lxw66.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\Program Files\BOOKSHELF4_12\TRBookshelf_.dll.button.js');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Последний раз редактировалось V_Bond; 17.03.2008 в 21:40 .
Причина: Добавлено
Junior Member
Вес репутации
59
При включении компа появляется окошечко с надписью Error getting configuration settings. При нажатии 4 раза на его закрытие - закрывается. Сделал все рекомендованное. Правда пока разобрался с ICE, нажал в нем кнопки Process и Log Process Termination. Может что-то испортил, потому, что AVZ делал первый лог часа 4, а раньше минут 20. Диспетчер задач отключен администратором, как включить не знаю. Комп сильно тормозит.
Вложения
В хост файле сами делали записи?
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('Secdrv', 4);
StopService('Secdrv');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys');
BC_ImportAll;
BC_DeleteSvc('Secdrv');
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19951
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O21 - SSODL: bokpkov - {7E0F89CC-6BD6-4C54-9D0F-8F7E682E0B0B} - (no file)
Повтоите логи.
Junior Member
Вес репутации
59
Сделал все рекомендованное. При включении компа появляется окошечко с надписью Error getting configuration settings. При нажатии 5 раз на его закрытие - закрывается. Прогресс виден.
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\NoDNS\\NoDNS.exe','');
BC_DeleteSvc('asc3550p');
QuarantineFile('C:\Program Files\JavaCore\JavaCore.exe','');
DeleteFile('C:\Program Files\JavaCore\JavaCore.exe');
DeleteFile('C:\Program Files\\NoDNS\\NoDNS.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Последний раз редактировалось V_Bond; 18.03.2008 в 22:58 .
Junior Member
Вес репутации
59
Вложения
выполните скрипт ...
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
QuarantineFile('C:\Program Files\OSD\OSD.EXE','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
59
Вложения
пофиксите .....
Код:
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - shell32.dll (file missing)
C:\WINDOWS\system32\sfc_os.dll (TrojanSpy.Banker.alr)- заменить на чистый из
дистрибутива ...
и установить все обносления windows ....
больше ничего зловредного ...
Еще есть вероятность, что пароли ушли на сторону. Их надо менять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
O4 - Startup: .protected
O4 - Global Startup: .protected
не фиксятся.
.protected - ищем через авз - сервис - поиск файлов на диске ...
Junior Member
Вес репутации
59
.protected - ищем через авз - сервис - поиск файлов на диске. Находит 5 файлов нулевого размера в разных папках. Их все удалить?
сперва прислать по правилам (если получится)... потом удалить ...
пофиксить .... и сделать hijackthis.log
Junior Member
Вес репутации
59
Все сделал. Полной уверенноссти нет.
Вложения
в логах чисто ...
теперь быстро - быстро ставим сп2 пока не пролезло ничего нового ...
предупреждаю ваш кряк не сработает ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\ie extensions\\cj.v2.dll - Trojan.Win32.Emgr.a (DrWEB: Trojan.Click.18029) c:\\windows\\altvxvm.dll - not-a-virus:AdWare.Win32.Vapsup.cqj c:\\windows\\drnpfdxrqv.dll - not-a-virus:AdWare.Win32.Vapsup.cqj c:\\windows\\system32\\maxpaynow1.exe - Trojan-Downloader.Win32.Tibs.wh (DrWEB: Trojan.DownLoader.19256) c:\\windows\\system32\\msgk421.exe - Trojan.Win32.Pakes.cif (DrWEB: Trojan.Sentinel) c:\\windows\\system32\\msram.dll - not-a-virus:AdWare.Win32.Delf.aw (DrWEB: Trojan.Popuper.5243) c:\\windows\\system32\\vedxga1me4t1.exe - Trojan-Downloader.Win32.Tibs.wh (DrWEB: Trojan.DownLoader.19256) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.lkz (DrWEB: Trojan.MulDrop.13117) c:\\windows\\winlogon.exe - Trojan.Win32.Agent.hts (DrWEB: Trojan.Spambot.3090)