Junior Member
Вес репутации
59
очередной "больной" с троянами
Принесли ноутбук.
Похоже, что много всякого разного нацепляли.
Симптомы:
- весьма длительная загрузка (более 7 минут)
- общая "тормознутость" системы
- появление всевозможного мусора в системных папках и на рабочем столе ("file.exe", "zzxbkb.tmp" и т.п.)
- блокировка панели управления и диспетчера задач
- периодически вылезает довольно симпатичное окно с предложением установить "ultimate Defender" "ultimate cleaner" и что-то там еще. Причем не поленились нарисовать иконки и выполнить все в стиле микрософтовского центра управления безопасности. Первый раз такое вижу. Довольно забавно :-) .
Согласно правилам пытался запустить CureIT - блокируется.
При запуске "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" выбрасывает в BSoD.
Так что логи только по скрипту сбора информации и HiJackThis.
Надеюсь на вашу помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Wtk39.sys.C:\WINDOWS\S ystem32\Drivers\Qwd63.sys ,C:\WINDOWS\system32\Drivers\Tkyt66.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
DelBHO('{8E1BFC0E-8AD2-424D-AC8A-06038481516E}');
DelBHO('{1DA68520-0AE3-4C6B-8F34-28FC3CA0EDC4}');
QuarantineFile('C:\WINDOWS\system32\xlibgfl254.dll','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Constantin\cftmon.exe','');
BC_DeleteSvc('Qwd63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd63.sys','');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Google Online Services');
QuarantineFile('Wtk39.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Tkyt66.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qwd63.sys','');
QuarantineFile('C:\WINDOWS\system32\yaywWQjg.dll','');
QuarantineFile('C:\WINDOWS\system32\xartcd5.dll','');
QuarantineFile('C:\WINDOWS\TEMP\BN4.tmp','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\fccyvVoL.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\Installer\{afd6d8e9-2607-44dc-af41-04464e219339}\RunOnceAvp.dll','');
QuarantineFile('C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll','');
QuarantineFile('C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll','');
QuarantineFile('c:\windows\system32\tpkmpsvc.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\constantin\ie_updates3r.exe','');
QuarantineFile('c:\windows\temp\bn4.tmp','');
DeleteFile('c:\windows\temp\bn4.tmp');
DeleteFile('c:\documents and settings\constantin\ie_updates3r.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\fccyvVoL.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\xartcd5.dll');
DeleteFile('C:\WINDOWS\system32\yaywWQjg.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Qwd63.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Tkyt66.sys');
DeleteFile('Wtk39.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd63.sys');
DeleteFile('C:\Documents and Settings\Constantin\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('yaywWQjg.dll');
DeleteFile('xartcd5.dll');
DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
Junior Member
Вес репутации
59
файлы удалил, но при выполнении скрипта система вывалилась в BSoD (в журнале по этому поводу ничего не осталось).
Повторите логи,посмотрим что там.
Junior Member
Вес репутации
59
Сообщение от
Гриша
Повторите логи,посмотрим что там.
окей. Повторяю.
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
DelBHO('{8E1BFC0E-8AD2-424D-AC8A-06038481516E}');
DelBHO('{0BB37543-FCCC-4D1A-8006-4720B01DA31F}');
BC_DeleteSvc('Wtk39');
QuarantineFile('Wtk39.sys','');
BC_DeleteSvc('Qwd63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd63.sys','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\Documents and Settings\Constantin\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\yaywWQjg.dll','');
QuarantineFile('C:\WINDOWS\system32\xartcd5.dll','');
QuarantineFile('C:\WINDOWS\system32\fccyvVoL.dll','');
QuarantineFile('C:\WINDOWS\Installer\{afd6d8e9-2607-44dc-af41-04464e219339}\RunOnceAvp.dll','');
QuarantineFile('C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll','');
QuarantineFile('C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll','');
QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('c:\windows\system32\tpkmpsvc.exe','');
QuarantineFile('c:\documents and settings\localservice\cftmon.exe','');
DeleteFile('c:\documents and settings\localservice\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
DeleteFile('C:\WINDOWS\system32\fccyvVoL.dll');
DeleteFile('C:\WINDOWS\system32\xartcd5.dll');
DeleteFile('C:\WINDOWS\system32\yaywWQjg.dll');
DeleteFile('C:\Documents and Settings\Constantin\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd63.sys');
DeleteFile('Wtk39.sys');
DeleteFile('C:\Documents and Settings\Constantin\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('xartcd5.dll');
DeleteFile('yaywWQjg.dll');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
59
карантин выслал.
логи повторяю.
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('E:\autorun.inf','');
DelBHO('{8E1BFC0E-8AD2-424D-AC8A-06038481516E}');
DelBHO('{0BB37543-FCCC-4D1A-8006-4720B01DA31F}');
DeleteFile('C:\WINDOWS\Installer\{afd6d8e9-2607-44dc-af41-04464e219339}\RunOnceAvp.dll');
DeleteFile('C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll');
DeleteFile('C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll');
DeleteFile('C:\WINDOWS\system32\fccyvVoL.dll');
DeleteFile('C:\WINDOWS\system32\yaywWQjg.dll');
DeleteFile('wowfx.dll');
DeleteFile('xlibgfl254.dll');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21169
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: xartcd5 - C:\WINDOWS\
O20 - Winlogon Notify: yaywWQjg - C:\WINDOWS\
Повторите логи.
C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll Trojan-Dropper.Win32.Agent.gfy
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll Trojan-Downloader.Win32.Agent.lsw
c:\windows\installer\{afd6d8e9-2607-44dc-af41-04464e219339}\runonceavp.dll Trojan-Downloader.Win32.Small.iuq
пофиксите ..
Код:
O2 - BHO: (no name) - {0BB37543-FCCC-4D1A-8006-4720B01DA31F} - C:\WINDOWS\system32\fccyvVoL.dll (file missing)
O2 - BHO: (no name) - {8E1BFC0E-8AD2-424D-AC8A-06038481516E} - C:\WINDOWS\system32\yaywWQjg.dll (file missing)
O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O21 - SSODL: zip - {35dc35d5-c336-498c-86de-c1b017de3756} - C:\WINDOWS\Installer\{35dc35d5-c336-498c-86de-c1b017de3756}\zip.dll
По карантину fccyvVoL.dll - Packed.Win32.Monder , C:\WINDOWS\system32\drivers\spools.exe - Worm.Win32.Socks.au , C:\Documents and Settings\LocalService\cftmon.exe - Worm.Win32.Socks.au , yaywWQjg.dll - not-a-virus:AdWare.Win32.Virtumonde.mxj , cj.v2.dll - Trojan-Clicker.Win32.Agent.xs , UnknownSrv.dll - Trojan-Downloader.Win32.Agent.lsw , runonceavp.dll - Trojan-Downloader.Win32.Small.iuq , ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.bs , zip.dll - Trojan-Dropper.Win32.Agent.qfy , xartcd5.dll - Trojan-Spy.Win32.Goldun.ma , по btkeyind.dll и tpkmpsvc.exe - подождём ответа аналитиков.
Junior Member
Вес репутации
59
Выполнил все рекомендации и скрипт.
Логи повторяю.
(карантин выслал только потому что так было сказано - по сути там только inf-файлы)
Интересовал E:\autorun.inf. Он для установки беспроводной связи, насколько я понял.
Junior Member
Вес репутации
59
еще пока не все...
Все еще очень долго грузится (промежуток между вводом пароля и загрузкой explorer'а около 2-3 минут).
вылезает окно с предложением установить "защитный софт".
повторяю логи...
Вложения
Junior Member
Вес репутации
59
попробовал поставить Касперского. Не получилось.
При первом запуске, как обычно, вылезает мастер для установки ключа, но в окне программы не видны радио-баттоны вместе с подписями и не работают кнопки, которых также не видно.
выполните скрипт ...
Код:
begin
QuarantineFile('C:\WINDOWS\system32\tp4ex.exe','');
QuarantineFile('C:\Program Files\Norton AntiVirus\NavShExt.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Junior Member
Вес репутации
59
папки
Код:
'C:\Program Files\Norton AntiVirus\NavShExt.dll'
не существует.
второй файл высылаю, но это не вирус - это айбиэмовский софт для трэкбола.
Кстати, бывали ли преценденты, когда вирус полностью выносил папку с Нортоном? У меня, похоже, это произошло.
После пары перезагрузок Касперский все-таки встал. Поросячий визг сразу наполнил кабинет. Сейчас запущу сканирование всей машины.
В остальном все вроде нормально смущает только странная трехминутная пауза при загрузке машины. Буду разбираться с этим завтра (итак уже засиделся).
Огромное спасибо всем за помощь.
Уже который раз выручаете. Придется проставляться пивом/соком
Добавлено через 11 минут
решил почистить остатки от Нортона полез на сайт за ремувером и ... оказалось, что что-то блокирует доступ на сайт www.symantec.com
Пытаюсь разобраться.
Последний раз редактировалось M.Hamster; 08.04.2008 в 00:21 .
Причина: Добавлено
выполните скрипт ...
Код:
begin
ClearHostsFile;
RebootWindows(true);
end.
Junior Member
Вес репутации
59
Junior Member
Вес репутации
59
При проверке дисков Касперский нашел еще кучу мусора, но ничего крмминального. Похоже, что теперь все чисто.Хозяин ноута говорит, что задержка при загрузке имела место быть уже очень давно, так что вряд ли это имеет отношение к вирусам.Еще раз огромное спасибо!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".