Показано с 1 по 10 из 10.

Неубиваемый драйвер ++ (заявка № 23199)

  1. #1
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59

    Exclamation Неубиваемый драйвер ++

    В общем, в попытках найти что то о неизвестной группе набрел на сайт, который загрузил мне на винчестер штучек 20ть "левых файлов". Некоторые лезли в планировщий, некоторые в службы и драйвера, некоторые конечно в автозапуск.

    Избавился от большинства.

    Осталась малость.

    Видимая проблема по крайней мере в том, что перед экраном приветствия я вижу на секунду стандартную обоину виндоус - зелень и облака. После появляется приветствие и мой рабочий стол.

    PS: Мсу(чего-то там) через BC не удаляется. Через службы тоже.
    PSS: BrainFetch чистый.
    Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IAKU4WXY\access[1].htm','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[2].htm','');
     QuarantineFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[1].htm','');
     QuarantineFile('C:\WINDOWS\nldfmtapnvb.dll','');
     QuarantineFile('C:\Documents and Settings\C. Four\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Msy41.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Msy41.sys');
     DeleteFile('C:\Documents and Settings\C. Four\ie_updates3r.exe');
     DeleteFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[1].htm');
     DeleteFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[2].htm');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IAKU4WXY\access[1].htm');
     DeleteFile('C:\WINDOWS\Temp\gold.exe');
     DeleteService('Msy41');
     DeleteService('Google Online Services');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=23199


    85.255.115.92,85.255.112.108 - это Ваше? если нет то

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{010F0C47-7489-482B-A25F-BE0000FFDA24}: NameServer = 85.255.115.92,85.255.112.108
    O17 - HKLM\System\CCS\Services\Tcpip\..\{503BA05F-0FE3-47CF-A8B0-920968FE3DA1}: NameServer = 85.255.115.92,85.255.112.108
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108
    O17 - HKLM\System\CS1\Services\Tcpip\..\{010F0C47-7489-482B-A25F-BE0000FFDA24}: NameServer = 85.255.115.92,85.255.112.108
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108
    O17 - HKLM\System\CS2\Services\Tcpip\..\{010F0C47-7489-482B-A25F-BE0000FFDA24}: NameServer = 85.255.115.92,85.255.112.108
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108
    Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Выполнил.

    Изображение перед приветствием осталось, так же как и служба Msy41.

    Карантин загрузил.


    -
    Что мое? Имеется ввиду мой ли это публ. ИП адрес?
    Последний раз редактировалось nismoxid; 22.05.2008 в 02:36. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Сделайте новые логи, этого Msy41 мы задавим, можете не сомневаться.

    П.С. По поводу адреса - речь о Вашем провайдере.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Логи заново не загружаются - якобы нет прав. Так что залил все 3 лога сюда - http://ifolder.ru/6665755 Один Архив.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Msy41.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Vfys58.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\nldfmtapnvb.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Msy41.sys');
     DeleteFile('asc3550p.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Vfys58.sys');
     DeleteFile('WinNt32.dll');
     DelBHO('{2AB0CA27-95E4-437A-8093-FADF3A2FAC42}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Msy41');
    BC_DeleteSvc('asc3550p');
    BC_DeleteSvc('Vfys58');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин, включая скопированный Вами файл.
    Сделайте новые логи.

    Отключите восстановление системы, как написано в правилах.
    Последний раз редактировалось kps; 22.05.2008 в 03:10. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    По предыдущему карантину access[1].htm1, access[1].htm, access[2].htm - not-a-virus: Porn-Dialer.Win32.GBDialer.j

    Это файлы порнографического характера.

    cftmon.exe, gold.exe - Trojan-Downloader.Win32.BHO.cy, WinNt32.dll - Trojan-Downloader.Win32.Mutant.yq, nldfmtapnvb.dll - Trojan.Win32.Vapsup.fmk

  9. #8
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Прислал карантин. Повторил логи. http://ifolder.ru/6668917
    Но восстановление системы отключил только после логов - забыл. Так что файла из System Restore больше нет.
    -
    Экран до приветствия все еще меня посещает. Мелочь, а неприятно. Или это уже "навсегда", до переустановки системы?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Логи чистые. Осталось почистить мусор.
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
    Как видите, Msy41.sys пролетел, как фанера над Парижем

    Еще пофиксите
    Код:
    O4 - HKLM\..\Run: [e4a6eb6c] rundll32.exe
    Последний раз редактировалось kps; 22.05.2008 в 13:05.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\c. four\\local settings\\temporary internet files\\content.ie5\\0fp7e2z5\\access[1].htm - not-a-virusorn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
      2. c:\\documents and settings\\c. four\\local settings\\temporary internet files\\content.ie5\\0fp7e2z5\\access[2].htm - not-a-virusorn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
      3. c:\\documents and settings\\localservice\\cftmon.exe - Trojan-Downloader.Win32.BHO.cy (DrWEB: Trojan.DownLoader.62037)
      4. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\iaku4wxy\\access[1].htm - not-a-virusorn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
      5. c:\\system volume information\\_restore{80b0b357-ca61-4d2b-9eca-9e405305e7a0}\\rp1\\a0000020.exe - Trojan-Downloader.Win32.BHO.cy (DrWEB: Trojan.DownLoader.62037)
      6. c:\\windows\\nldfmtapnvb.dll - Trojan.Win32.Vapsup.fmk (DrWEB: Trojan.Popuper.610
      7. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.yq (DrWEB: BackDoor.Bulknet.203)
      8. c:\\windows\\temp\\gold.exe - Trojan-Downloader.Win32.BHO.cy (DrWEB: Trojan.DownLoader.62037)


  • Уважаемый(ая) nismoxid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Неубиваемый zwog.exe
      От BIK в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.04.2010, 22:55
    2. Неубиваемый вирус
      От zurg в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 19.06.2009, 14:46
    3. Неубиваемый Троян
      От Sserregga в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.11.2008, 09:43
    4. неубиваемый winhelp32.exe
      От se21888 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.10.2008, 07:56
    5. неубиваемый троян
      От el coyote в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 15.10.2007, 05:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00842 seconds with 19 queries