Всем привет! Лечу зараженный комп. Был удачно подхвачен Spyware remover , по ходу там много чего. Cure IT даже не установить... штатный антивирь успешно нейтрализован, в общем весь букет. Файлы прилагаю. Заранее спасибо!
Всем привет! Лечу зараженный комп. Был удачно подхвачен Spyware remover , по ходу там много чего. Cure IT даже не установить... штатный антивирь успешно нейтрализован, в общем весь букет. Файлы прилагаю. Заранее спасибо!
Последний раз редактировалось Daemon66; 26.09.2008 в 00:06.
скачайте C:\WINDOWS\system32\Drivers\Emt64.sys C:\WINDOWS\system32\Drivers\Emt43.sys C:\WINDOWS\new_drv.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vbsys2.dll',''); QuarantineFile('C:\WINDOWS\system32\382077\382077.dll',''); QuarantineFile('C:\Program Files\tmp3.exe',''); QuarantineFile('C:\Program Files\tmp2.exe',''); QuarantineFile('C:\Program Files\tmp1.exe',''); QuarantineFile('C:\Program Files\tmp0.exe',''); QuarantineFile('C:\Documents and Settings\Gildi\win.exe',''); DelBHO('{0826898D-C6EA-40BB-B636-9C82B5565312}'); DelBHO('{3A1E4EE5-BC64-4E79-9687-29924D109606}'); DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}'); DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}'); DelBHO('{037E0831-A9B3-4AF9-99A7-F6A9E1E6A6D4}'); QuarantineFile('C:\WINDOWS\system32\lshuxenq.exe',''); QuarantineFile('C:\WINDOWS\9129837.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\Gildi\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\dctehkfs\zctgjsfo.exe',''); BC_DeleteSvc('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); BC_DeleteSvc('new_drv'); BC_DeleteSvc('Emt64'); BC_DeleteSvc('Emt43'); BC_DeleteSvc('Schedule'); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\new_drv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Emt64.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Emt43.sys',''); QuarantineFile('C:\WINDOWS\wetkadmr.dll',''); QuarantineFile('C:\WINDOWS\tdomgafw.dll',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\vtUonlIX.dll',''); QuarantineFile('C:\WINDOWS\system32\pmnnNDWq.dll',''); QuarantineFile('c:\documents and settings\all users\application data\dctehkfs\zctgjsfo.exe',''); QuarantineFile('c:\windows\system32\lshuxenq.exe',''); QuarantineFile('c:\windows\9129837.exe',''); DeleteFile('c:\windows\9129837.exe'); DeleteFile('c:\windows\system32\lshuxenq.exe'); DeleteFile('c:\documents and settings\all users\application data\dctehkfs\zctgjsfo.exe'); DeleteFile('C:\WINDOWS\system32\pmnnNDWq.dll'); DeleteFile('C:\WINDOWS\system32\vtUonlIX.dll'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\tdomgafw.dll'); DeleteFile('C:\WINDOWS\wetkadmr.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Emt43.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Emt64.sys'); DeleteFile('C:\WINDOWS\new_drv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\Documents and Settings\Gildi\cftmon.exe'); DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('C:\WINDOWS\9129837.exe'); DeleteFile('C:\WINDOWS\system32\lshuxenq.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('WinNt32.dll'); DeleteFile('pmnnNDWq.dll'); DeleteFile('C:\WINDOWS\qvlbodmnwra.dll'); DeleteFile('C:\WINDOWS\system32\382077\382077.dll'); DeleteFile('C:\WINDOWS\mkrndofl.dll'); DeleteFile('C:\Documents and Settings\Gildi\win.exe'); DeleteFile('C:\Program Files\tmp0.exe'); DeleteFile('C:\Program Files\tmp1.exe'); DeleteFile('C:\Program Files\tmp2.exe'); DeleteFile('C:\Program Files\tmp3.exe'); DeleteFile('C:\WINDOWS\system32\vbsys2.dll'); BC_ImportDeletedist; ExecuteRepair(1); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
скрипт выполнил... теперь проблемы с запуском программ... просит выбрать с помощью какой программы открыть файл.... выбираю саму себя, тогда запускается. До этого было сообщение об отсутствующей rundll32.dll . A spyremover ещё сидит и рвется в нет В \WINDOWS\ куча подозрительных ехе-шников, может убить их загрузившись с СД или не поможет?
переименуйте авз в 123.pif он запустится ...
файл - восстановление системы - пункт 1 ... далее рекомендации из поста 2 ...
блин невнимательно читал (( не выполнил первое: скчать... и т.д. а теперь поздно?
я сразу скрипт запустил...
Добавлено через 55 секунд
авз щас крутится, и другие можно запуститиь но геморно, надо ремонтировать
Последний раз редактировалось Daemon66; 06.05.2008 в 23:28. Причина: Добавлено
ничего не поздно .... делайте как я вам написал выше ...
карантин выслал, там 2 вчера начал, но прервал, продолжение сегодня, там кажется 2 файла остались win.exe i vbs... которые шалят, могу убить их руками
Последний раз редактировалось Daemon66; 26.09.2008 в 00:06.
пофиксите ...
выполните скрипт ....Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {B2A7ECF4-F40D-4856-AFFB-3D8E723738AF} - :\WINDOWS\system32\vtUonlIX.dll (file missing) O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\pmnnNDWq.dll (file missing) O20 - Winlogon Notify: pmnnNDWq - C:\WINDOWS\ O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
пришлите карантин согласно приложения 3 правил ....Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}'); DelBHO('{B2A7ECF4-F40D-4856-AFFB-3D8E723738AF}'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteFile('C:\WINDOWS\system32\vtUonlIX.dll'); DeleteFile('C:\Documents and Settings\Gildi\win.exe'); DeleteFile('C:\WINDOWS\system32\vbsys2.dll'); BC_Importall; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
после второго прохода вроде всё пришло в норму... логи прилагаю.
прога SmileIT была удалена. В автозагрузке был запуск как службы googleupdate.exe. Единственно беспокоит что после перезагрузки, при отсутсвии программ, которым необходимо сетевое подключение идут попытки установить соединение.
Последний раз редактировалось Daemon66; 26.09.2008 в 00:06.
хочу выложить файлы для проверки, скорее всего это мусор от вирья, хотя их можно и запустить... всё лежит в %windows% и дата создания 04.05.08 вероятно тогда и хапнули гадость. Загружу как карантин.
Добавлено через 4 минуты
последнее: после всего этого иконки на рабочем столе стали непрозрачными, выделены фоном, можно только изменить цвет подложки, и никак не поправить. Может в реестре надо поправить чтобы иконки снова стали прозрачными?
Последний раз редактировалось Daemon66; 07.05.2008 в 02:05. Причина: Добавлено
382077.dll - not-a-virus:AdWare.Win32.E404.ag, pmnnNDWq.dll - not-a-virus:AdWare.Win32.Virtumonde.qta,
vtUonlIX.dll - not-a-virus:AdWare.Win32.Virtumonde.quk
9129837.exed - Trojan-PSW.Win32.Papras.di, cftmon.exed, spools.exed - Trojan-Downloader.Win32.Peregar.ad,
lshuxenq.exed, zctgjsfo.exed - Trojan.Win32.Obfuscated.gx, mkrndofl.dll - Trojan.Win32.Vapsup.evb, new_drv.sys - Rootkit.Win32.Agent.sz, qvlbodmnwra.dll - Trojan.Win32.Vapsup.euw, tdomgafw.dll - Trojan.Win32.Vapsup.euz, tmp0.exed - Trojan-Downloader.Win32.Small.ivo,
wetkadmr.dll - Trojan.Win32.Vapsup.euv, win.exed - Trojan-Downloader.Win32.Mutant.ek,
WinNt32.dll - Trojan-Downloader.Win32.Agent.nsl,
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.oo
пофиксите ...
выполните скрипт ...Код:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file
насчет прозрачности ...Код:begin BC_DeleteSvc('tcpsr'); BC_Activate; RebootWindows(true); end.
Мой компьютер ->Свойства ->Дополнительно -> Параметры быстродействия -> вкладка Визуальные эфекты -> параметр Отбрасывание теней значками на рабочем столе ...
Последний раз редактировалось V_Bond; 07.05.2008 в 09:42. Причина: Добавлено
Спасибо сделаю. А как насчет второго карантина ? В принципе, кажется в нете есть информация о файлах, и их можно самому проверить. Моет ссылки какие дадите? Я бы сам, хотя на 99% уверен что это зловредные файлы. Или прогнать систему антивирусом?
a.bat_, bdn.com_, iTunesMusic.exe_, mssecu.exe_, rs.txt, userconfig9x.dll, VM303UninstNT.exe_, VMInstNT.exe_, WIC.log, 2_mslagent.dll, mslagent.exe, uninstall.exe
Вредоносный код в файлах не обнаружен.
knxsrgte.exe_ - Trojan.Win32.Vapsup.euy, svorbmke.exe_ - Trojan.Win32.Vapsup.eux
ОК, спасибо...
спасибо за помощь, не умею благодарность дать...
напоследок логи... на всякий случай ))
Последний раз редактировалось Daemon66; 26.09.2008 в 00:05.
в логах чисто ...
Уважаемый(ая) Daemon66, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.