Касперски обнаружил трояны написаные в теме, лог "Сканирование системы для вирусинфо" не смог сделать так как при проверке памяти вылетает "синий экран смерти", также каспер обнаружил еще какието инвадеры и hidden-install
Касперски обнаружил трояны написаные в теме, лог "Сканирование системы для вирусинфо" не смог сделать так как при проверке памяти вылетает "синий экран смерти", также каспер обнаружил еще какието инвадеры и hidden-install
Последний раз редактировалось Shu_b; 01.05.2008 в 09:07.
virusinfo_cure.zip из темы уберите, это карантин. Его пришлите по ссылке вверху темы "Прислать запрошенный карантин".
Прикрепите 2 лога AVZ по правилам: http://virusinfo.info/showthread.php?t=1235
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Сканирование avz удалось выполнить только в "безопасном режиме" виндоус, потому что при попытке запустить скрипты в нормальном режиме появлялся "синий экран смерти"
Выполните в обычном режиме:
Скачать,меню,File,появится аналог проводника,найти:WLCtrl32.dll,Fcm41.sys,Otxe64.sys ,Wdi27.sys ,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Otxe64.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fcm41.sys',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp srv',''); QuarantineFile('C:\WINDOWS\system32\1031z.exe',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp srv',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Wdi27.sys',''); QuarantineFile('Otxe64.sys',''); QuarantineFile('Fcm41.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteService('seclogonHidServ'); DeleteService('Wdi27'); DeleteService('Otxe64'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('Fcm41.sys'); DeleteFile('Otxe64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fcm41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Otxe64.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Wdi27.sys'); DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv'); DeleteFile('C:\WINDOWS\system32\1031z.exe'); DeleteFile('C:\WINDOWS\kavir.exe'); DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('WLCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('seclogonHidServ '); BC_DeleteSvc('Wdi27 '); BC_DeleteSvc('Otxe64 '); BC_DeleteSvc('Fcm41 '); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22317
Очистите временные папки,кеш браузера и повторите логи.
"Торможение" компютера и браузера пропала, но при попытке сделать логи авз в норманом режиме виндовс появлялся "синий экран", антивирус недавно выдавал сообщение о вирусе в оперативной памяти, также сообщил о подозрении на winlogon.exe("invader"). Выкладываю повторные логи
есть подозрения что внедрился троян-даунлоадер, переодически чето качаеться с интернета
maxpaynow1.exe,vedxga1me4t1.exe,vedxg6ame4.exe-Trojan-Downloader.Win32.Tibs.zl
WLCtrl32.dll-свежий
Otxe64.sys-Rootkit.Win32.Agent.aih
kavir.exe-Email-Worm.Win32.Zhelatin.yd
1031z.exe- Backdoor.Win32.IRCBot.csn
Отключите обязательно антивирус и интернет!
Выполнять в обычном режиме.
В IceSword сделайте вот этим файликам Hnr73.sys,Xil28.sys,WLCtrl32.dll Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrSvc('COMSysAppSQLBrowser '); BC_QrSvc('EventlogMDM '); BC_QrSvc('RemoteAccessRemoteAccess '); BC_QrSvc('Tomcat5MSSQL$SQLEXPRESS '); QuarantineFile('C:\WINDOWS\system32\drivers\Pvv59.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xil28.sys ',' '); QuarantineFile('C:\WINDOWS\System32\Drivers\Xei40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wdi72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pva62.sys',''); QuarantineFile('C:\WINDOWS\system32\1042e.exe',''); DeleteService('Xei40'); DeleteService('Wdi72'); DeleteService('Qwc72'); DeleteService('Pva62'); DeleteService('Lrx73'); DeleteService('Hnr73'); DeleteService('upnphostNetlogon'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Hnr73.sys'); DeleteFile('Xil28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xil28.sys'); DeleteFile('C:\WINDOWS\system32\1042e.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Lrx73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pva62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwc72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wdi72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xei40.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Pvv59.sys'); DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe'); DeleteFile('WLCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Xei40 '); BC_DeleteSvc('Wdi72 '); BC_DeleteSvc('Qwc72 '); BC_DeleteSvc('Pva62 '); BC_DeleteSvc('Lrx73 '); BC_DeleteSvc('Hnr73 '); BC_DeleteSvc('upnphostNetlogon '); BC_DeleteSvc('Xil28 '); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22317
Повторите логи.
Логи теперь выполнились в нормальном режиме виндос, токо заметил еще вирус при сканирование авз, вот логи
похоже что какой то троян еще качает с интернета
Второго карантина после скрипта из поста номер 7 от Вас нет. Закачайте пожалуйста.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Вы в IceSword удаляли C:\WINDOWS\system32\WLCtrl32.dll?
Да, C:\WINDOWS\system32\WLCtrl32.dll удалял айсвордом, также там был WLCtrl32.dl_ его тоже удалил, карантин закачал
У Вас куча гадости на компьютере.
Запустите IceSword, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Lrx73.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lrx73.sys',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp',''); QuarantineFile('C:\WINDOWS\system32\acluizb.exe',''); QuarantineFile('C:\WINDOWS\system32\accwizh.exe',''); QuarantineFile('C:\WINDOWS\system32\aaaamonw.exe',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('Lrx73.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('Lrx73.sys'); DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv'); DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv'); DeleteFile('C:\WINDOWS\system32\aaaamonw.exe'); DeleteFile('C:\WINDOWS\system32\accwizh.exe'); DeleteFile('C:\WINDOWS\system32\acluizb.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Lrx73.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('RemoteAccessRemoteAccess'); BC_DeleteSvc('MDMCreativeNtLmSsp'); BC_DeleteSvc('EventlogMDM'); BC_DeleteSvc('COMSysAppSQLBrowser'); BC_DeleteSvc('CreativeNtLmSsp'); BC_DeleteSvc('MDMCreativeNtLmSspNla'); BC_DeleteSvc('USB2_04'); BC_DeleteSvc('Lrx73'); BC_Activate; RebootWindows(true); end.
Пришлите карантин и сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
mass mail software обнаружен, еще раз пересканирую касперским с новыми базами все диски, возможно вирус спрятался где то на другом диске, кстати вопрос насчет антивируса, если есть KAV есть смысл ставить еще и КIS? последние логи прикреплены, карантин закачано
В IceSword сделайте Force Delete вот этим файлам:WLCtrl32.dll,Jpu05.sys.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Java\Tomcat-5.5\bin\tomcat5.exe',''); DeleteService('Jpu05'); DeleteFile('C:\WINDOWS\System32\drivers\Jpu05.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\acleditm.exe'); DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp srv'); DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp'); DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Jpu05 '); BC_DeleteSvc('ERSvcwscsvc'); BC_DeleteSvc('ThemesHTTPFilter'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22317
Повторите логи.
Последний раз редактировалось Гриша; 02.05.2008 в 16:30.
Повторные логи, карантин закачал
Еще небольшой штрих
Пофиксить
Это ваш провайдер:Код:O1 - Hosts: 89.111.185.33 seotraff.cn O1 - Hosts: 89.111.185.33 gopanda.cn O1 - Hosts: 213.186.126.105 gopanda.cn O1 - Hosts: 89.111.185.33 wiz2wix.com
Если нет пофикситьКод:JSC UKRTELECOM 18, Shevchenko blvd Ukraine, Kiev
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6 O17 - HKLM\System\CS1\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6 O17 - HKLM\System\CS2\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6
Загрузите карантин по правилам.Очистите временные папки,кеш браузера.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrSvc('Tomcat5MSSQL$SQLEXPRESS'); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp',''); QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp srv',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Гриша; 02.05.2008 в 23:45.
Карантин закачал, в папке windows\temp есть файлы типа cch~46fe28d6.htp, их было много когда троян качал с интернета, эти файлы не опасны?
очистите папку с временными файлами системы и временными интернет файлами.
Большое вам спасибо
Уважаемый(ая) mhubskyy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.