Добрый день ! Помогите пожалуйста, похоже завёлся троян. На дисках C и В autorun.inf. В папке system32 dnsq.dll и в папке system32/com процессы lsass.exe и др. В безопасный режим не попадаю. Каспер их не удаляет и не видит даже.
Добрый день ! Помогите пожалуйста, похоже завёлся троян. На дисках C и В autorun.inf. В папке system32 dnsq.dll и в папке system32/com процессы lsass.exe и др. В безопасный режим не попадаю. Каспер их не удаляет и не видит даже.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINNT\System32\msxaxd.exe',''); QuarantineFile('C:\WINNT\System32\msxaxd.dll',''); QuarantineFile('C:\WINNT\System32\dnsq.dll',''); QuarantineFile('C:\WINNT\System32\com\smss.exe',''); QuarantineFile('C:\WINNT\System32\com\netcfg.dll',''); QuarantineFile('C:\WINNT\System32\com\lsass.exe',''); DeleteFile('C:\WINNT\System32\com\lsass.exe'); DeleteFile('C:\WINNT\System32\com\netcfg.dll'); DeleteFile('C:\WINNT\System32\com\smss.exe'); DeleteFile('C:\WINNT\System32\dnsq.dll'); DeleteFile('C:\WINNT\System32\msxaxd.dll'); DeleteFile('C:\WINNT\System32\msxaxd.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; BC_DeleteSvc('deckzpsx'); BC_DeleteSvc('msxbef'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20451).
Сделайте новые логи.
I am not young enough to know everything...
После перезагрузки было всё хорошо. А затем снова появился autorun.inf и dnsq.dll, lsass.exe и всё остальное
Ваша зараза видимо на съемном носителе (флэшка, плеер и т.п.) - подключите его.
Загрузитесь в безопасный режим и выполните скрипт в AVZ:
Предварительно замените в красной строчке Х на букву вашего съемного диска.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); DeleteFile('C:\WINNT\System32\com\lsass.exe'); DeleteFile('C:\WINNT\System32\com\netcfg.dll'); DeleteFile('C:\WINNT\System32\com\smss.exe'); DeleteFile('C:\WINNT\System32\dnsq.dll'); DeleteFile('C:\Recycled\Dc130\ocenka_fiz.part01.exe'); DeleteFile('C:\pagefile.pif'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('X:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки повторите логи, не отключая съемный диск.
I am not young enough to know everything...
Вот новые логи. Но после перезагрузки всё опять повторяется. Файлы появляются на старых местах. Грузятся сами собой сайты с китайскими иероглифами.
Карантин после первого скрипта прислали?
Для 2000-ка уже давно СП4 вышел, а у Вас СП2. Надо будет исправлять.
Надо установить AVZPM, перезагрузиться и сделать новые логи. Посмотрим, кто там у Вас маскируется.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо. Да, карантин я высылал. А AVZPM стоит вроде бы. Сейчас сделаю новые логи.
У Вас, видимо, Xorer http://virusinfo.info/showpost.php?p...7&postcount=27 , сейчас напишу скрипт.
Добавлено:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('c:\pagefile.pif',''); QuarantineFile('C:\NetApi00.sys',''); QuarantineFile('C:\037589.log',''); QuarantineFile('C:\lsass.exe.48247687.exe',''); QuarantineFile('c:\winnt\system32\com\netcfg.000',''); QuarantineFile('c:\winnt\system32\com\netcfg.dll',''); QuarantineFile('c:\winnt\system32\com\lsass.exe',''); QuarantineFile('C:\WINNT\System32\dnsq.dll',''); QuarantineFile('c:\winnt\system32\com\smss.exe',''); QuarantineFile('c:\winnt\system32\com\lsass.exe',''); DeleteFile('c:\winnt\system32\com\lsass.exe'); DeleteFile('c:\winnt\system32\com\smss.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20451 ).
Сделайте новые логи.
Вот это Вам знакомо?
C:\DOCUME~1\boss\МОИДОК~1\ЛИЧНАЯ\АКУЛЫ\SHARKS2.scr
c:\program files\unistream\
У Вас старая версия IE, нужно обновить.
Последний раз редактировалось kps; 27.03.2008 в 12:14. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выполнил cкрипт, рекомендованый kps и файлы уже больше не создаются. Логи прилагаются.
А по поводу драйвера AVZM :у меня не получается его установить. Я это пробовал ещё с самого начала. Может это из-за того, что windows 2000 sp2?
Не вижу Вашего карантина после моего скрипта. Загрузите пожалуйста по указанной выше ссылке.
По предыдущему карантину:
C:\WINNT\System32\dnsq.dll - Trojan-PSW.Win32.Agent.acp
C:\pagefile.pif - Virus.Win32.Xorer.fb
C:\WINNT\System32\com\smss.exe - Virus.Win32.Xorer.dt
C:\WINNT\System32\com\lsass.exe - Virus.Win32.Xorer.fb
C:\WINNT\System32\com\netcfg.dll - Virus.Win32.Xorer.ee
Логи чистые. Выполните еще такой скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\System32\dnsq.dll'); DeleteFile('C:\pagefile.pif'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Простите, я с перепуга очистил и папку с карантином. Спасибо большое за помощь.
Какие-то проблемы остались?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Проблем не осталось.
А Вы не подскажите AVZM не устанавливается из-за того, что Widows 2000 SP2 ? Если да , то установка SP4 поможет ?
SP4 + Rollup1 + заплатки россыпью настоятельно рекомендуются с целью затыкания множества обнаруженных дыр. Ну, и вообще устойчивость системы должна повыситься, SP2 и ниже отличались падучестью в некоторых ситуациях.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\pagefile.pif - Virus.Win32.Xorer.fb (DrWEB: Win32.HLLP.Rox.17)
- c:\\winnt\\system32\\com\\lsass.exe - Virus.Win32.Xorer.fb (DrWEB: Win32.HLLP.Rox.17)
- c:\\winnt\\system32\\com\\netcfg.dll - Virus.Win32.Xorer.ee (DrWEB: Win32.HLLP.Rox)
- c:\\winnt\\system32\\com\\smss.exe - Virus.Win32.Xorer.dt (DrWEB: Win32.HLLP.Rox)
- c:\\winnt\\system32\\dnsq.dll - Trojan-PSW.Win32.Agent.acp (DrWEB: Win32.HLLP.Rox.16)
- c:\\winnt\\system32\\msxaxd.dll - Backdoor.Win32.Hupigon.aueu (DrWEB: Trojan.Stius)
- c:\\winnt\\system32\\msxaxd.exe - Trojan.Win32.Delf.blp (DrWEB: Trojan.Stius)
Уважаемый(ая) dekun, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.