Junior Member
Вес репутации
59
Антивирус блокируется вирусом
Началось с того, что не смог загрузиться AVK. Переустановить не удалось, установить DrWeb и запустить AVZ тоже не удалось.
DrWebCureIt запустился только в защищенном режиме (вообще-то, вирусов набралось немало), информацию удалось собрать тоже только в защищенном режиме
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Dls76', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Dls76.sys');
BC_DeleteSvc('Dls76');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Dls76.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки еще один:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\update.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\xprot.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Dls76.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\mp3res.dll','');
QuarantineFile('C:\WINDOWS\system32\.0023c522\0023c522.exe','');
DeleteFile('C:\WINDOWS\system32\.0023c522\0023c522.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Dls76.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\update.exe');
DeleteFile('C:\WINDOWS\system32\.0023c522\0023c522.core.dll');
BC_ImportALL;
BC_QrSvc('FCI');
BC_DeleteSvc('FCI');
BC_DeleteSvc('Dls76');
BC_DeleteSvc('runtime2');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20263 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Карантин загрузил
И еще. После перезагрузки компьютера (в безопасном режиме) AVZ загружается только после запуска CureIt (быстрая проверка). Пишет: Cannot open file extract.avz. И открывает кучу окон: Access vioalation ...
Вложения
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: mp3res - C:\WINDOWS\SYSTEM32\mp3res.dll
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: 244206 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r817w32.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mp3res.dll');
DeleteFile('C:\WINDOWS\system32\xprot.sys');
BC_ImportDeletedList;
BC_DeleteSvc('xprot');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи в нормальном режиме.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Вложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\Ольга\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipx10.sys','');
QuarantineFile('C:\WINDOWS\system32\msvcrtdm.dll','');
QuarantineFile('C:\WINDOWS\system32\IMM32.DLL','');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipx10.sys');
DeleteFile('C:\Documents and Settings\Ольга\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Ipx10');
ExecuteSysClean;
DelWinlogonNotifyByKeyname( 'mp3res');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
I am not young enough to know everything...
Junior Member
Вес репутации
59
По карантину подождем ответа вирлаба.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Junior Member
Вес репутации
59
Похоже все заработало. Касперского поставил, проверяю на вирусы
Непонятно только, что же ответил вирлаб
По первому карантину ответили 0023c522.core.dll - not-a-virus:AdWare.Win32.Virtumonde.ktp , 0023c522.exe - Trojan.Win32.Inject.aed , mp3res.dll - Trojan-Spy.Win32.Goldun.aan , WLCtrl32.dll - Trojan-Downloader.Win32.Agent.luo , xprot.sys - Backdoor.Win32.Agent.fpj , Dls76.sys - Trojan-Downloader.Win32.Agent.lxa по поводу второго карантина ещё не ответили.
Последний раз редактировалось wise-wistful; 22.03.2008 в 22:58 .
Junior Member
Вес репутации
59
Ребята, всем огромное спасибо!
Все работает, хотя AVK намёл по углам ещё 3 вируса
Сейчас запущу его еще раз
Ну на то он и антивирус, что бы мусор выметать.
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить наш сервис.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы в будущем подобных зверей не ловить и уменьшить вероятность заражения следует в инете пользоваться акaунтом ограниченного пользователя , браузер :firefox+noscript
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 30 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\dls76.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037) c:\\windows\\system32\\mp3res.dll - Trojan-Spy.Win32.Goldun.aan (DrWEB: Trojan.PWS.GoldSpy.2136) c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.luo (DrWEB: Trojan.DownLoader.50037) c:\\windows\\system32\\.0023c522\\0023c522.core.dl l - not-a-virus:AdWare.Win32.Virtumonde.ktp (DrWEB: Trojan.Virtumod.based.14) c:\\windows\\system32\\.0023c522\\0023c522.exe - Trojan.Win32.Inject.aed (DrWEB: Trojan.Virtumod.based.14) \\2008-03-22\\bcqr00008.dta - Backdoor.Win32.Agent.fpj (DrWEB: Trojan.NtRootKit.919) \\2008-03-22\\bcqr00009.dta - Backdoor.Win32.Agent.fpj (DrWEB: Trojan.NtRootKit.919) \\2008-03-22\\bcqr00014.dta - Trojan-Spy.Win32.Goldun.aan (DrWEB: Trojan.PWS.GoldSpy.2136) \\2008-03-22\\bcqr00015.dta - Trojan-Spy.Win32.Goldun.aan (DrWEB: Trojan.PWS.GoldSpy.2136)