Третий НОД его ругает, но убить не может. И еще целая куча всего поназалетала, думаю, не без его помощи!!
гонял вебом, нодом, AVZ и Trojan Remover 6.6.8, без толку...
Прилагаю логи.
Третий НОД его ругает, но убить не может. И еще целая куча всего поназалетала, думаю, не без его помощи!!
гонял вебом, нодом, AVZ и Trojan Remover 6.6.8, без толку...
Прилагаю логи.
Последний раз редактировалось antivor; 01.06.2008 в 21:22.
Нда... Богато Аж в глазах рябит!
Для начала выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\msgk449.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('c:\windows\system32\maxpaynow1.exe',''); QuarantineFile('c:\windows\system32\n21ewma1xx1sv2234.exe',''); QuarantineFile('c:\windows\system32\wind32.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\msgk387.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\mrofinu27.exe',''); QuarantineFile('C:\WINDOWS\system32\alt.exe.exe',''); QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\37E8ABML\install_sbd_en[1].exe',''); QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\Program Files\Common Files\System\wmpisvrs32.dll',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\wind32.exe',''); QuarantineFile('C:\WINDOWS\system32\n21ewma1xx1sv2234.exe',''); QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe',''); QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe',''); QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe',''); QuarantineFile('C:\WINDOWS\system32\ctfmona.exe',''); QuarantineFile('C:\Program Files\NoDNS\NoDNS.exe',''); QuarantineFile('C:\Program Files\JavaCore\JavaCore.exe',''); DeleteFile('C:\Program Files\JavaCore\JavaCore.exe'); DeleteFile('C:\Program Files\NoDNS\NoDNS.exe'); DeleteFile('C:\WINDOWS\system32\ctfmona.exe'); DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe'); DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe'); DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\system32\n21ewma1xx1sv2234.exe'); DeleteFile('C:\WINDOWS\system32\wind32.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\37E8ABML\install_sbd_en[1].exe'); DeleteFile('C:\WINDOWS\system32\alt.exe.exe'); DeleteFile('C:\WINDOWS\mrofinu27.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\msgk387.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\wind32.exe'); DeleteFile('c:\windows\system32\n21ewma1xx1sv2234.exe'); DeleteFile('c:\windows\system32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\msgk449.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe'); BC_ImportALL; BC_DeleteSvc('catchme'); BC_DeleteSvc('FCI'); BC_DeleteSvc('CcEvtSvc'); BC_DeleteSvc('CbEvtSvc'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19858).
Сделайте новые логи, будем смотреть дальше.
I am not young enough to know everything...
карантин приислал, логи прилагаю.
большинство полечилось, но в процессах что-то не то болтается.
Последний раз редактировалось antivor; 01.06.2008 в 21:22.
1. Очистите карантин ДрВеба:
C:\Documents and Settings\Администратор\DoctorWeb\Quarantine
2. Пофиксите в HijackThis:
3. Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [WinMed] winmed.exe O4 - HKCU\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe O4 - HKCU\..\Run: [NoDNS] C:\Program Files\\NoDNS\\NoDNS.exe O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Scyb41'); SetServiceStart('Scyb41', 4); DeleteFile('C:\WINDOWS\System32\Drivers\Scyb41.sys'); DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.exe'); BC_ImportDeletedList; BC_DeleteSvc('Ygl84'); BC_DeleteSvc('Scyb41'); BC_DeleteSvc('oqtxde'); BC_DeleteSvc('wmpisvrs32k'); BC_DeleteSvc('WmiApSrvRasAuto'); BC_DeleteSvc('ThemesProtectedStorage'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('SCardSvrstisvc'); BC_DeleteSvc('Google Online Search Service'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
4. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Процессы похоже нормализовались. комп не тормозит, криминала не видно, по крайней мере мне!
Прилагаю логи на всякий случай!
Последний раз редактировалось antivor; 01.06.2008 в 21:22.
Поищите при помощи АВЗ сервис--поиск файлов на диске wmpisvrs32.dll, riode32.sys и пришлите их согласно приложения 2 правил.
При добавлении в карантин второго файла руганулсо NOD32...
так что видно еще что-то есть!
Ладно, карантин с 2 файлами выслал, жду вердикт!
riode32.sys - Trojan.Win32.Srizbi.j, wmpisvrs32.dll - Trojan.Win32.Pakes.civ
Выполните в АВЗ
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('wmpisvrs32', 4); StopService('wmpisvrs32'); DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys'); BC_ImportAll; BC_DeleteSvc('wmpisvrs32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сделано. логи прилагаю.
Последний раз редактировалось antivor; 01.06.2008 в 21:21.
Выполните в АВЗ
Загрузите карантин согласно приложения 3 правил.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\AdvancedCleaner Free\ian_monitor.exe',''); QuarantineFile('C:\WINDOWS\system32\khooker.exe',''); DeleteFile('C:\WINDOWS\system32\khooker.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин я прислал, но он пустой, по-моему!
антивирь и автоматическое обновление вроде отключены были на момент выполнения скрипта.
он отругался, после перезагрузки искал АВЗ файло, которое в скрипте фигурировало, ниичего не нашлось...
Тогда дайте новые логи. Да карантин пустой.
нате есть что?
Последний раз редактировалось antivor; 01.06.2008 в 21:21.
ian_monitor.exe поищите через авз - сервис- поиск файлов на диске .... если найдется пришлите по правилам .....
Короче говоря, сделал поиск ian_monitor.*
Нашел в C:\windows\prefetch такую вещь, которую в карантине прислал.
Каталог prefetch вычистил total comanderом с удалением мимо корзины.
P.s. на сегодня я покидаю рабочее место! руководство к действию оставьте, завтра выполню по полной!
Последний раз редактировалось antivor; 20.03.2008 в 06:08. Причина: дописка
Подождём, что скажут по его поводу аналитики.
простите, не хочу никого напрягать, но у меня человек без сети сидит в целях карантина...
Аналитики про нас не забыли?
присланный файл чистый ....
какие-то проблемы остались ?
я проблем не вижу. просто пока не убедился закрыл сеть
Все, спасибо всем!!! не сомневался в вас!
Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.