Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Впечатление такое, что логи AVZ с одного компьютера, а HijackThis - с другого.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('ibutu.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('LogCrypt.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\Fsd9mk4g.dll','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\WINDOWS\TEMP\lsass.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sye51.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\svc32_1.exe','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\svc32_1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sye51.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\lsass.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\system32\Fsd9mk4g.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ibutu.dll');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL');
BC_ImportDeletedList;
BC_DeleteSvc('Sye51');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Ktt60');
BC_DeleteSvc('kcp');
BC_DeleteSvc('WinSecurServ05');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('PolicyAgent');
BC_DeleteSvc('mnmsrvc');
BC_DeleteSvc('Microsoft PS Service');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20326 ).
Отключите восстановление системы.
Обновите базы AVZ.
Сделайте новые логи.
I am not young enough to know everything...
после выполнения скрипта в карантине ниего не появляется. Все что мог из трея выгрузил, восстановление системы отключил... После перезагрузки появляется раздел карантина в AVZ с датой образования. Но она абсолютно пуста.
скачал AVZ и hijackthis по ссылкам с вашего сайта и делал ими перескан.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Scorpio\My Documents\lg\avito3gp.exe','');
QuarantineFile('fusstub.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\system32\oyvhuyyx.dll','');
QuarantineFile('C:\Program Files\Common Files\Protector Suite QL\Drivers\FdRedir.sys','');
QuarantineFile('C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe','');
DeleteFile('C:\WINDOWS\system32\oyvhuyyx.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DelBHO('{CACA7731-9C77-464A-B1B7-462281DD8164}');
DelBHO('{B89C65C9-A4F6-4540-897F-D2AB01D0CE1D}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{55DB983C-BDBF-426f-86F0-187B02DDA39B}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20326
Добавлено через 4 минуты
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: winexy32 - C:\WINDOWS\
O20 - Winlogon Notify: ddcbxyx - C:\WINDOWS\
O20 - Winlogon Notify: mllmk - C:\WINDOWS\
Повторите логи
Последний раз редактировалось akoK; 24.03.2008 в 15:35 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Файлы послал.
P.S. вы два раза указали на строчку - "O20 - Winlogon Notify: ddcbxyx - C:\WINDOWS\"
Может вы имели ввиду - "O20 - Winlogon Notify: mllmk - C:\WINDOWS\"?
Потому что там только один ddcbxyx.
Спасибо.
Да, вы правильно поняли.
И еще - пришлите по правилам вот этот файлик:
C:\WINDOWS\ausctv32a.dll
I am not young enough to know everything...
ausctv32a.dll - Trojan-Downloader.Win32.Delf.gbc
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\ausctv32a.dll');
BC_DeleteFile('C:\WINDOWS\ausctv32a.dll');
ExecuteSysClean;
BC_Activate;
DelBHO('{D2A8552D-4340-413E-B94E-245827FBC269}');
RebootWindows(true);
end.
Сделайте новые логи.
I am not young enough to know everything...
Окно с Warning перестало загружать!! Есть ли еще какие-нубудь бяки?
Вложения
кроме покерного клиента - ничего подозрительного ...
Вот и здорово! Спасибо всем кто помог!!!
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи и чистого интернета
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 24 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.r (DrWEB: Trojan.BitAcc) c:\\windows\\ausctv32a.dll - Trojan-Downloader.Win32.Delf.gbc (DrWEB: Trojan.Click.17920)