-
Junior Member
- Вес репутации
- 0
Непонятные процессы и dll
Добрый день всем, у меня вот такая проблема. Есть непонятные файлы в системную папку: 180ax.exe, 2020search.dll, 2020search2.dll, apphelp32.dll, bokja.exe, сколько не удаляю опять появляются, проверился Др.Вебом в безопасном режиме не помогает, система тормозит, Винда ругается на наличие спайуэр, в папке C:\Program Files вот такие папки которые быть там не должны - 180search assistant, 180searchassistant, 180 solutions, zango, stc, seekmo и так далее. Присылаю логи АВЗ помогите пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 0
Предоставляю логи дамы и господа
Последний раз редактировалось Sharky1984; 26.05.2008 в 20:31.
-
Junior Member
- Вес репутации
- 0
И еще диспечер задач отключен...
-
скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Lpt58 ,
C:\WINDOWS\System32\Drivers\Jii39.sys - force delete
затем выполните скрипт авз ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\D21.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\4FE9.tmp.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
BC_DeleteSvc('diperto348f-7f56');
QuarantineFile('diperto348f-7f56.sys','');
BC_DeleteSvc('Lpt58');
BC_DeleteSvc('Jii39');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\TEMP\rmVL6P4r.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lpt58.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Jii39.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\system32\mgmrwmrv.exe','');
DeleteFile('c:\windows\system32\mgmrwmrv.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Jii39.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Lpt58.sys');
DeleteFile('C:\WINDOWS\TEMP\rmVL6P4r.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('diperto348f-7f56.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\4FE9.tmp.exe');
DeleteFile('C:\WINDOWS\system32\D21.tmp');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 0
после выполнения скрипта появяется синий экран
Добавлено через 9 минут
после ребута опять синий экран с сообщением про Jii39.sys, после второго ребута уже норм
Последний раз редактировалось Sharky1984; 22.03.2008 в 19:15.
Причина: Добавлено
-
должно быть все нормально , делайте новые логи ...
-
-
Junior Member
- Вес репутации
- 0
скрипт в безопасном режиме реально все уладил. Спасибо высылаю новые логи
Добавлено через 3 минуты
все логи нужно заново сделать? или только хиджак?
Последний раз редактировалось Sharky1984; 22.03.2008 в 19:26.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 0
БХО так и не фиксируется... щас логи будут через 2 мин
-
Junior Member
- Вес репутации
- 0
Последний раз редактировалось Sharky1984; 26.05.2008 в 20:31.
-
удалите временные интернет файлы
выполните скрипт ...
Код:
begin
ClearQuarantine;
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
QuarantineFile('d:\Program Files\MSICatalog\webtogo\wtgstart.bat','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 0
спасибо я все сделал кажется успешно. Высылаю новые логи
Последний раз редактировалось Sharky1984; 26.05.2008 в 20:31.
-
Junior Member
- Вес репутации
- 0
все в норме спасибо за оказанную помощь
-
не вижу вашего карантина после последнего скрипта ...
-
-
Junior Member
- Вес репутации
- 0
тут присутствует какой то даунлодер - на этой машине работал человек я сегодня нашел туту такой C:\Documents and Settings\Administrator\ftpdll.dll - a variant of Win32/PSW.Agent.NHG trojan и еще один C:\WINDOWS\system32\ftpdll.dll - a variant of Win32/PSW.Agent.NHG trojan тот же самый только в системной папке
Добавлено через 3 часа 17 минут
авз считает что файл C:\WINDOWS\Temp\winlogon.exe инфицирован. предоставляю на анализ
Последний раз редактировалось Sharky1984; 26.03.2008 в 15:19.
Причина: Добавлено
-
в приведенных логах чисто ...
C:\WINDOWS\temp\winlogon.exe -Trojan.Packed.147 но это я так понимаю с другой машины ....
-
-
Junior Member
- Вес репутации
- 0
нет эта та же машина только карантин сегодняшний
-
-
-
Junior Member
- Вес репутации
- 0
Нод ничего подозрительного не видит в данном файле вот собственно логи...
Последний раз редактировалось Sharky1984; 26.05.2008 в 20:31.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\winlogon.exe');
QuarantineFile('c:\windows\temp\winlogon.exe','');
DeleteFile('c:\windows\temp\winlogon.exe');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_CURRENT_USER ','Software\Microsoft\Windows\CurrentVersion\Run ','Firewall auto setup ');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
-