Показано с 1 по 16 из 16.

Зараженный комп___ле4ение (заявка № 22531)

  1. #1
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39

    Thumbs up Зараженный комп___ле4ение

    Всем привет! Лечу зараженный комп. Был удачно подхвачен Spyware remover , по ходу там много чего. Cure IT даже не установить... штатный антивирь успешно нейтрализован, в общем весь букет. Файлы прилагаю. Заранее спасибо!
    Последний раз редактировалось Daemon66; 25.09.2008 в 23:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте C:\WINDOWS\system32\Drivers\Emt64.sys C:\WINDOWS\system32\Drivers\Emt43.sys C:\WINDOWS\new_drv.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
     QuarantineFile('C:\WINDOWS\system32\382077\382077.dll','');
     QuarantineFile('C:\Program Files\tmp3.exe','');
     QuarantineFile('C:\Program Files\tmp2.exe','');
     QuarantineFile('C:\Program Files\tmp1.exe','');
     QuarantineFile('C:\Program Files\tmp0.exe','');
     QuarantineFile('C:\Documents and Settings\Gildi\win.exe','');
     DelBHO('{0826898D-C6EA-40BB-B636-9C82B5565312}');
     DelBHO('{3A1E4EE5-BC64-4E79-9687-29924D109606}');
     DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
     DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}');
     DelBHO('{037E0831-A9B3-4AF9-99A7-F6A9E1E6A6D4}');
     QuarantineFile('C:\WINDOWS\system32\lshuxenq.exe','');
     QuarantineFile('C:\WINDOWS\9129837.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Gildi\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\dctehkfs\zctgjsfo.exe','');
    BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
    BC_DeleteSvc('new_drv');
    BC_DeleteSvc('Emt64');
    BC_DeleteSvc('Emt43');
    BC_DeleteSvc('Schedule');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\new_drv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Emt64.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Emt43.sys','');
     QuarantineFile('C:\WINDOWS\wetkadmr.dll','');
     QuarantineFile('C:\WINDOWS\tdomgafw.dll','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\vtUonlIX.dll','');
     QuarantineFile('C:\WINDOWS\system32\pmnnNDWq.dll','');
     QuarantineFile('c:\documents and settings\all users\application data\dctehkfs\zctgjsfo.exe','');
     QuarantineFile('c:\windows\system32\lshuxenq.exe','');
     QuarantineFile('c:\windows\9129837.exe','');
     DeleteFile('c:\windows\9129837.exe');
     DeleteFile('c:\windows\system32\lshuxenq.exe');
     DeleteFile('c:\documents and settings\all users\application data\dctehkfs\zctgjsfo.exe');
     DeleteFile('C:\WINDOWS\system32\pmnnNDWq.dll');
     DeleteFile('C:\WINDOWS\system32\vtUonlIX.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\tdomgafw.dll');
     DeleteFile('C:\WINDOWS\wetkadmr.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Emt43.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Emt64.sys');
     DeleteFile('C:\WINDOWS\new_drv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\Documents and Settings\Gildi\cftmon.exe');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('C:\WINDOWS\9129837.exe');
     DeleteFile('C:\WINDOWS\system32\lshuxenq.exe');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('WinNt32.dll');
     DeleteFile('pmnnNDWq.dll');
     DeleteFile('C:\WINDOWS\qvlbodmnwra.dll');
     DeleteFile('C:\WINDOWS\system32\382077\382077.dll');
     DeleteFile('C:\WINDOWS\mkrndofl.dll');
     DeleteFile('C:\Documents and Settings\Gildi\win.exe');
     DeleteFile('C:\Program Files\tmp0.exe');
     DeleteFile('C:\Program Files\tmp1.exe');
     DeleteFile('C:\Program Files\tmp2.exe');
     DeleteFile('C:\Program Files\tmp3.exe');
     DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
    BC_ImportDeletedist;
    ExecuteRepair(1);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ..
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    скрипт выполнил... теперь проблемы с запуском программ... просит выбрать с помощью какой программы открыть файл.... выбираю саму себя, тогда запускается. До этого было сообщение об отсутствующей rundll32.dll . A spyremover ещё сидит и рвется в нет В \WINDOWS\ куча подозрительных ехе-шников, может убить их загрузившись с СД или не поможет?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    переименуйте авз в 123.pif он запустится ...
    файл - восстановление системы - пункт 1 ... далее рекомендации из поста 2 ...

  6. #5
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    блин невнимательно читал (( не выполнил первое: скчать... и т.д. а теперь поздно?
    я сразу скрипт запустил...

    Добавлено через 55 секунд

    авз щас крутится, и другие можно запуститиь но геморно, надо ремонтировать
    Последний раз редактировалось Daemon66; 06.05.2008 в 22:28. Причина: Добавлено

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ничего не поздно .... делайте как я вам написал выше ...

  8. #7
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    карантин выслал, там 2 вчера начал, но прервал, продолжение сегодня, там кажется 2 файла остались win.exe i vbs... которые шалят, могу убить их руками
    Последний раз редактировалось Daemon66; 25.09.2008 в 23:06.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
    R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {B2A7ECF4-F40D-4856-AFFB-3D8E723738AF} - :\WINDOWS\system32\vtUonlIX.dll (file missing)
    O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\pmnnNDWq.dll (file missing)
    O20 - Winlogon Notify: pmnnNDWq - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    выполните скрипт ....
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}');
     DelBHO('{B2A7ECF4-F40D-4856-AFFB-3D8E723738AF}');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\system32\vtUonlIX.dll');
     DeleteFile('C:\Documents and Settings\Gildi\win.exe');
     DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
    BC_Importall;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  10. #9
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    после второго прохода вроде всё пришло в норму... логи прилагаю.
    прога SmileIT была удалена. В автозагрузке был запуск как службы googleupdate.exe. Единственно беспокоит что после перезагрузки, при отсутсвии программ, которым необходимо сетевое подключение идут попытки установить соединение.
    Последний раз редактировалось Daemon66; 25.09.2008 в 23:06.

  11. #10
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    хочу выложить файлы для проверки, скорее всего это мусор от вирья, хотя их можно и запустить... всё лежит в %windows% и дата создания 04.05.08 вероятно тогда и хапнули гадость. Загружу как карантин.

    Добавлено через 4 минуты

    последнее: после всего этого иконки на рабочем столе стали непрозрачными, выделены фоном, можно только изменить цвет подложки, и никак не поправить. Может в реестре надо поправить чтобы иконки снова стали прозрачными?
    Последний раз редактировалось Daemon66; 07.05.2008 в 01:05. Причина: Добавлено

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    382077.dll - not-a-virus:AdWare.Win32.E404.ag, pmnnNDWq.dll - not-a-virus:AdWare.Win32.Virtumonde.qta,
    vtUonlIX.dll - not-a-virus:AdWare.Win32.Virtumonde.quk
    9129837.exed - Trojan-PSW.Win32.Papras.di, cftmon.exed, spools.exed - Trojan-Downloader.Win32.Peregar.ad,
    lshuxenq.exed, zctgjsfo.exed - Trojan.Win32.Obfuscated.gx, mkrndofl.dll - Trojan.Win32.Vapsup.evb, new_drv.sys - Rootkit.Win32.Agent.sz, qvlbodmnwra.dll - Trojan.Win32.Vapsup.euw, tdomgafw.dll - Trojan.Win32.Vapsup.euz, tmp0.exed - Trojan-Downloader.Win32.Small.ivo,
    wetkadmr.dll - Trojan.Win32.Vapsup.euv, win.exed - Trojan-Downloader.Win32.Mutant.ek,
    WinNt32.dll - Trojan-Downloader.Win32.Agent.nsl,
    WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.oo
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('tcpsr');
     BC_Activate;
     RebootWindows(true);
    end.
    насчет прозрачности ...
    Мой компьютер ->Свойства ->Дополнительно -> Параметры быстродействия -> вкладка Визуальные эфекты -> параметр Отбрасывание теней значками на рабочем столе ...
    Последний раз редактировалось V_Bond; 07.05.2008 в 08:42. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    Спасибо сделаю. А как насчет второго карантина ? В принципе, кажется в нете есть информация о файлах, и их можно самому проверить. Моет ссылки какие дадите? Я бы сам, хотя на 99% уверен что это зловредные файлы. Или прогнать систему антивирусом?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    a.bat_, bdn.com_, iTunesMusic.exe_, mssecu.exe_, rs.txt, userconfig9x.dll, VM303UninstNT.exe_, VMInstNT.exe_, WIC.log, 2_mslagent.dll, mslagent.exe, uninstall.exe
    Вредоносный код в файлах не обнаружен.

    knxsrgte.exe_ - Trojan.Win32.Vapsup.euy, svorbmke.exe_ - Trojan.Win32.Vapsup.eux

  15. #14
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    ОК, спасибо...

  16. #15
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    65
    Вес репутации
    39
    спасибо за помощь, не умею благодарность дать...
    напоследок логи... на всякий случай ))
    Последний раз редактировалось Daemon66; 25.09.2008 в 23:05.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах чисто ...

  • Уважаемый(ая) Daemon66, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зараженный комп
      От treumer в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 14.06.2010, 17:38
    2. СМС и зараженный svchost.exe
      От Подполковник в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.11.2009, 17:08
    3. зараженный winlogon.exe
      От Rouk в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.08.2009, 20:04
    4. Зараженный компьютер
      От NewWave в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:18
    5. Зараженный комп
      От Alex L в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.09.2008, 08:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01145 seconds with 16 queries