Junior Member
Вес репутации
59
BACKDOOR.TROJAN
Здравствуйте!!!
Win2K
Spydernt.log:
Local Settings\TEMP\много *.exe c BACKDOOR.TROJAN
Tempopary Internet Files\temp\bho[1].exe - программа-AdWare Adware.Bho
В безопасном режиме-синий экран .
AVZ не запустить/появляется-исчезает/,
после перезагрузки AVZ.EXE удаляется.
Dweb как бы блокирован /лог-есть, управление недоступно/.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачать это переименованный IceSword.
Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
Выберите:
Код:
C:\WINNT\TEMP\918A.tmp
C:\WINNT\system32\uchm472.exe
C:\WINNT\system32\uchm469.exe
C:\DOCUME~1\gss\LOCALS~1\Temp\w12602b8.exe
Нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".
Потом внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем эти файлы+эти
Код:
C:\WINNT\system32\actcontroller.exe
C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe
C:\Documents and Settings\gss\ie_updates3r.exe
и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
И еще посмотрите если ли там такие файлы:
Код:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.
Скачайте AVZ заного переименуйте в 123.com и попробуйте сделать логи.
Последний раз редактировалось Гриша; 03.05.2008 в 16:32 .
Junior Member
Вес репутации
59
Последний раз редактировалось Alex_Goodwin; 04.05.2008 в 01:45 .
1. Отключите восстановление системы.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
TerminateProcessByName('c:\winnt\temp\2544.tmp');
TerminateProcessByName('c:\docume~1\gss\locals~1\temp\w16ac590.exe');
QuarantineFile('c:\winnt\temp\2544.tmp','');
QuarantineFile('c:\docume~1\gss\locals~1\temp\w16ac590.exe','');
QuarantineFile('C:\WINNT\system32\crypts.dll','');
QuarantineFile('C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\gss\ie_updates3r.exe','');
QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
QuarantineFile('C:\WINNT\system32\actcontroller.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('kdjkx.exe','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINNT\system32\nwiz.exe','');
QuarantineFile('C:\WINNT\system32\uchm427.exe','');
QuarantineFile('C:\Documents and Settings\Default User.WINNT\Local Settings\Temporary Internet Files\Content.IE5\L4HF7EX7\alexey[1].exe','');
DeleteFile('c:\winnt\temp\2544.tmp');
DeleteFile('c:\docume~1\gss\locals~1\temp\w16ac590.exe');
DeleteFile('C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\gss\ie_updates3r.exe');
DeleteFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe');
DeleteFile('C:\WINNT\system32\crypts.dll');
DeleteFile('crypts.dll');
DeleteFile('kdjkx.exe');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Documents and Settings\Default User.WINNT\Local Settings\Temporary Internet Files\Content.IE5\L4HF7EX7\alexey[1].exe');
DeleteFile('C:\WINNT\system32\uchm427.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22392
3. Повторите логи .
Последний раз редактировалось Синауридзе Александр; 03.05.2008 в 19:42 .
Junior Member
Вес репутации
59
Spidernt.log: system32\drivers\grande48.sys-Trojan.Sentinel.
Последний раз редактировалось Alex_Goodwin; 04.05.2008 в 01:45 .
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Wdl24');
QuarantineFile('Wdl24.sys','');
BC_DeleteSvc('protect');
QuarantineFile('C:\WINNT\System32\drivers\protect.sys','');
BC_DeleteSvc('grande48');
QuarantineFile('C:\WINNT\system32\drivers\grande48.sys','');
QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
QuarantineFile('c:\docume~1\gss\locals~1\temp\web5ee0.exe','');
DeleteFile('c:\docume~1\gss\locals~1\temp\web5ee0.exe');
DeleteFile('C:\WINNT\system32\drivers\grande48.sys');
DeleteFile('C:\WINNT\System32\drivers\protect.sys');
DeleteFile('Wdl24.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
59
На логи исчерпал лимит, должен был выслать подтверждение, но на mail.ru захожу-сообщения не открыть. EXE-шники в system32 плодятся /uchm***/
Беда, короче.
Подчистил логи. Выкладывайте новые.
Junior Member
Вес репутации
59
Вложения
web5ee0.exe- Trojan-PSW.Win32.Stealer.l
Пофиксить
Код:
O20 - Winlogon Notify: crypt - C:\WINNT\
Это ваш провайдер
Код:
UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
Если нет,пофиксить
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0B74AAF-97E1-4F37-A710-4D96123D56EF}: NameServer = 85.255.113.110,85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\gss\locals~1\temp\w748a38.exe');
DeleteFile('c:\docume~1\gss\locals~1\temp\w748a38.exe');
QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('dpti930 ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22392
Повторите логи.
Junior Member
Вес репутации
59
Если можно удалите старые логи.
Dweb не запускается,не удаляется.
В Mail.ru сообщения или не открыть или пусто.
Логи
Вложения
fhnkni.sys - поищите при помощи авз и пришлите согласно правилам
Скачайте кюрит на чистом ПК, запишите на CD и запустите проверку своей зараженной системы прямо с CD.
Junior Member
Вес репутации
59
Диск лечил CureIT-ом на чистом компе. Нашел очень много всего.
Из проблем остался синий экран при загрузке в безопасном режиме , у меня
W2K Pro RUS, может быть есть скрипт на эту тему.
Высылаю логи, спасибо.
Вложения
выполните скрипт ...
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
RebootWindows(true);
end.
какие-то проблемы остались ?
Junior Member
Вес репутации
59
Режим заработал,ура!!!.
Если можно, поставьте диагноз по последним логам, в карантин попал SBCMAUT.exe.
SBCMAUT.EXE вы его присылали ? я не вижу ...
Junior Member
Вес репутации
59
Junior Member
Вес репутации
59
Тему закрываем.
Всем большущее СПАСИБО!!!!!!
И С ДНЕМ ПОБЕДЫ !!!!!!