Доброго времени суток.
Очередная просьба помочь в неравной борьбе с вирусами при временном отсутствии сисадмина.
Логи прилагаются. Заранее спасибо.
Доброго времени суток.
Очередная просьба помочь в неравной борьбе с вирусами при временном отсутствии сисадмина.
Логи прилагаются. Заранее спасибо.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe O4 - HKLM\..\Run: [WinMed] winmed.exe O4 - HKCU\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe O20 - Winlogon Notify: crypt - C:\WINDOWS\ O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\yltg580.exe',''); QuarantineFile('C:\WINDOWS\system32\yltg563.exe',''); QuarantineFile('C:\Documents and Settings\Евгения\Local Settings\Temp\nsv6B.tmp\blowfish.dll',''); QuarantineFile('C:\WINDOWS\system32\sssvcs.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tgf11.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys',''); QuarantineFile('C:\WINDOWS\system32\qtprot.sys',''); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Itl77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hdl11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Elt77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Arq22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nlt55.sys',''); QuarantineFile('C:\WINDOWS\system32\3com_dmiv.exe',''); QuarantineFile('C:\WINDOWS\system32\advpackk.exe',''); QuarantineFile('C:\WINDOWS\system32\aaaamonmy.exe',''); QuarantineFile('C:\WINDOWS\system32\smsk437.exe',''); QuarantineFile('C:\Documents and Settings\Евгения\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\system32\cisvc.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nlt55.sys',''); QuarantineFile('C:\WINDOWS\winsock32.exe',''); QuarantineFile('C:\WINDOWS\system32\lcsass.exe',''); DeleteFile('C:\WINDOWS\system32\lcsass.exe'); DeleteFile('C:\WINDOWS\winsock32.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Nlt55.sys'); DeleteFile('C:\WINDOWS\system32\cisvc.exe'); DeleteFile('C:\Documents and Settings\Евгения\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\smsk437.exe'); DeleteFile('C:\WINDOWS\system32\aaaamonmy.exe'); DeleteFile('C:\WINDOWS\system32\advpackk.exe'); DeleteFile('C:\WINDOWS\system32\3com_dmiv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Nlt55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Arq22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Elt77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hdl11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Itl77.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); DeleteFile('C:\WINDOWS\system32\qtprot.sys'); DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tgf11.sys'); DeleteFile('C:\WINDOWS\system32\sssvcs.exe'); DeleteFile('C:\Documents and Settings\Евгения\Local Settings\Temp\nsv6B.tmp\blowfish.dll'); DeleteFile('C:\WINDOWS\system32\yltg563.exe'); DeleteFile('C:\WINDOWS\system32\yltg580.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22294).
Сделайте новые логи.
I am not young enough to know everything...
Сделал все как Вы сказали.
Карантин выслал. Новые логи прилагаются.
скачайте C:\WINDOWS\System32\Drivers\Nlt55.sys - force delete
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinNt32.dll',''); BC_DeleteSvc('Nlt55'); QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('C:\WINDOWS\system32\imapi.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nlt55.sys',''); QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\pdfprint.dll',''); QuarantineFile('C:\WINDOWS\svchost.dll',''); DeleteFile('C:\WINDOWS\svchost.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Nlt55.sys'); DeleteFile('WinNt32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\aaaamonmy.exe - Trojan.Win32.Pakes.csu (DrWEB: BackDoor.IRC.Nite)
- c:\\windows\\system32\\advpackk.exe - Trojan.Win32.Inject.bdf (DrWEB: BackDoor.IRC.Nite)
- c:\\windows\\system32\\lcsass.exe - Backdoor.Win32.Agent.fzv (DrWEB: BackDoor.IRC.Sdbot.3390)
- c:\\windows\\system32\\yltg563.exe - Trojan-Downloader.Win32.Mutant.nl (DrWEB: Trojan.DownLoader.59056)
- c:\\windows\\system32\\yltg580.exe - Trojan-Downloader.Win32.Agent.ucy (DrWEB: BackDoor.Bulknet.185)
- c:\\windows\\system32\\3com_dmiv.exe - Trojan.Win32.Pakes.csu (DrWEB: BackDoor.IRC.Nite)
- c:\\windows\\winsock32.exe - Trojan.Win32.Agent.leh (DrWEB: Trojan.Winsock.2)
Уважаемый(ая) Navigatorov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.