Junior Member
Вес репутации
59
букет
Был целый букет. Те, которые доктор веб видел (ctfmon,spool) вроде убрал. Но глюки все равно остались : блокируется доступ к диспетчеру задач, система грузится под 100 %, при соединении с инетом идет легкий трафик даже при пустом окне (гораздо ниже скорости соединения), пр открытии IE в папке TEMP появляются файлы в которых Dr Web находит Trojan.FrogDrop
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите Антивирус и Интернет!
Скачать ,меню,File,появится аналог проводника,найти:WLCtrl32.dll,Jrw62.sys,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\17pholmes27.exe');
TerminateProcessByName('c:\windows.0\system32\wind32.exe');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS.0\mrofinu27.exe','');
QuarantineFile('c:\windows.0\17pholmes27.exe','');
QuarantineFile('C:\WINDOWS.0\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wad47.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Txb25.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Txa82.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Rvx71.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Mtw36.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Los86.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Jnq81.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Gjm57.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Fkn26.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Cfj25.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Afi25.sys','');
QuarantineFile('Schedule.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Elo60.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Utn44.SYS','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Jrw62.sys','');
QuarantineFile('C:\WINDOWS.0\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows.0\system32\wind32.exe','');
DeleteService('Fkn26');
DeleteService('Afi25');
DeleteService('Wad47');
DeleteService('Jrw62');
DeleteService('Elo60');
DeleteService('Gjm57');
DeleteService('Txa82');
DeleteService('Mtw36');
DeleteService('Txb25');
DeleteService('Rvx71');
DeleteService('Los86');
DeleteService('Cfj25');
DeleteService('Jnq81');
DeleteService('Schedule');
DeleteFile('c:\windows.0\system32\wind32.exe');
DeleteFile('C:\WINDOWS.0\system32\WLCtrl32.dll');
DeleteFile('Schedule.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Afi25.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Cfj25.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Fkn26.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Gjm57.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Jnq81.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Los86.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Mtw36.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Rvx71.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Txa82.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Txb25.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Jrw62.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Utn44.SYS');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Elo60.sys');
DeleteFile('c:\windows.0\17pholmes27.exe');
DeleteFile('C:\WINDOWS.0\mrofinu27.exe');
DeleteFile('C:\WINDOWS.0\system32\vedxg6ame4.exe') ;
DeleteFile('C:\WINDOWS.0\System32\Drivers\Wad47.sys');
DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Fkn26 ');
BC_DeleteSvc('Afi25 ');
BC_DeleteSvc('Wad47 ');
BC_DeleteSvc('Jrw62 ');
BC_DeleteSvc('Gjm57 ');
BC_DeleteSvc('Txa82 ');
BC_DeleteSvc('Mtw36 ');
BC_DeleteSvc('Txb25 ');
BC_DeleteSvc('Rvx71 ');
BC_DeleteSvc('Los86 ');
BC_DeleteSvc('Cfj25 ');
BC_DeleteSvc('Jnq81 ');
BC_DeleteSvc('Schedule ');
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(11 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22383
Очистите временные папки,кеш браузера и повторите логи.
Последний раз редактировалось Гриша; 03.05.2008 в 12:52 .
Причина: THK Rene-gad
Junior Member
Вес репутации
59
Порядок действий был вынужденно другой - меч при загрузке намертво вешал систему. Прошелся сначала скриптом. После этого в мече указанные файлы не обнаружились. Проблемы частично устранены - диспетчер задач не блокируется, трафика нет, dr web не ругается, но загрузка ЦП все равно 100%, убиваю грузящий процесс svchost - он настырно появляется снова.
Вложения
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\drivers\grande48.sys','');
QuarantineFile('C:\DOCUME~1\887D~1.9A4\LOCALS~1\Temp\19.tmp/r','');
BC_DeleteSvc('Uyd60');
BC_DeleteSvc('Utn44');
QuarantineFile('Utn44.sys','');
BC_DeleteSvc('Ubg74');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Ubg74.sys','');
BC_DeleteSvc('Pvy60');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Pvy60.sys','');
BC_DeleteSvc('Oux36');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Oux36.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS.0\System32\drivers\Oux36.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Pvy60.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Ubg74.sys');
DeleteFile('Utn44.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Uyd60.sys');
DeleteFile('C:\DOCUME~1\887D~1.9A4\LOCALS~1\Temp\19.tmp/r');
DeleteFile('C:\WINDOWS.0\system32\drivers\grande48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
59
Создается ощущение борьбы с гидрой. Загрузка Цп по-прежнему 100% после выполнения стандартных скриптов проснулся dr web и отрапортовал, что снова убил какого-то гада в system32/drivers
Дико полез входящий трафик! Стоит поставить аутпост сейчас или сначала вычистить?
Вложения
Последний раз редактировалось aagura; 03.05.2008 в 21:53 .
C:\WINDOWS.0\System32\drivers\Ubg74.sys Trojan-Downloader.Win32.Agent.lxa
C:\WINDOWS.0\System32\drivers\Oux36.sys Trojan-Downloader.Win32.Agent.lxa
C:\WINDOWS.0\System32\drivers\Pvy60.sys Trojan-Downloader.Win32.Agent.lxa
C:\WINDOWS.0\system32\drivers\grande48.sys Rootkit.Win32.Agent.aih
выполните скрипт ..
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\BOOTVID.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
BC_DeleteSvc('Djl60');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Djl60.sys','');
DeleteFile('C:\WINDOWS.0\System32\drivers\Djl60.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
59
Трафик вроде поутух. Загрузка цп 100%
Вложения
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS.0\0\system32\BOOTVID.dll');
BC_DeleteFile('C:\WINDOWS.0\0\system32\DRIVERS\CLASSPNP.SYS');
BC_DeleteFile('C:\WINDOWS.0\0\system32\hal.dll');
BC_DeleteFile('C:\WINDOWS.0\0\system32\KDCOM.DLL');
BC_DeleteFile('C:\WINDOWS.0\0\system32\ntdll.dll');
BC_DeleteFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe');
BC_DeleteFile('C:\WINDOWS.0\0\system32\DRIVERS\PCIIDEX.SYS');
BC_DeleteFile('C:\WINDOWS.0\0\system32\DRIVERS\WMILIB.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(11 );
RebootWindows(true);
end.
После ребута - логи в студию.
Junior Member
Вес репутации
59
Мы долго и успешно что-то побеждаем - мне уже начинает нравиться процесс! Вот бы еще результат - 100 % загрузки ЦП ((
Вложения
выполните скрипт ....
Код:
begin
BC_DeleteSvc('asc3550p');
BC_Activate;
RebootWindows(true);
end.
побеждать больше некого ....
пуск - выполнить - msconfig ( отключите всю автозагрузку )
Junior Member
Вес репутации
59
Спасибо огромное - можно стало работать и мысли о переустановке системы отложены. Но какой-то зверек все-таки по-моему сидит. В автозагрузке нет ничего подозрительного, а грузящий систему svchost теперь снимается без сопротивления. После этого все работает как должно.
все из папки ... C:\WINDOWS.0\0\
пришлите согласно приложения 2 правил ...
Junior Member
Вес репутации
59
ntoskrnl.exe поищите при помощи авз и пришлите по правилам ...
Junior Member
Вес репутации
59
нашел штук 8. Нажал последовательно карантин, удалить со следами. Захожу в карантин пусто. После перезагрузки dr web отловил 5 файлов с trojan.downloader 50037
удалять никто не просил ....
virusinfo_syscheck.zip сделайте ...
Junior Member
Вес репутации
59
Виноват.Что-то полезное было?
Вложения
выполните скрипт ...
Код:
begin
DeleteFile('C:\WINDOWS.0\0\system32\BOOTVID.dll');
DeleteFile('C:\WINDOWS.0\0\system32\DRIVERS\CLASSPNP.SYS');
DeleteFile('C:\WINDOWS.0\0\system32\hal.dll');
DeleteFile('C:\WINDOWS.0\0\system32\ntdll.dll');
DeleteFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe');
DeleteFile('C:\WINDOWS.0\0\system32\DRIVERS\WMILIB.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
virusinfo_syscheck.zip - повторите ...
Junior Member
Вес репутации
59
Вложения
скачайте
из каталога C:\WINDOWS.0\0\ все что увидите правой кнопкой Copy to....
и пришлите ...