Показано с 1 по 13 из 13.

Ubh16.sys, iexplore.exe (заявка № 23461)

  1. #1
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0

    Thumbs up Ubh16.sys, iexplore.exe

    Всем здравствуйте, буду краток, ситуация не из лучших: на компьютере-жертвы долго не было антивируса, как только я поставил чистка прошла успешно. Но кое-что еще осталось наверное потому как при каждой перезагрузке Нод ругается на этот файл C:\Windows\System32\drivers\Ubh16.sys помещает его в карантин но от этого не лучше. Причем при каждой перезагрузке присутствует процесс IEXPLORE.EXE плюс очень много svchost-ов и 3 штуки winlogon.exe. помогите пожалуйста логи присутствуют. АВЗ удалось запустить только в безопасном режиме - в обычном режиме выдает синий экран
    Последний раз редактировалось Sharky1984; 11.07.2008 в 13:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    не зловредных файлов в ваших логах не обнаружено
    выполните скрипт ..
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     quarantineFile('C:\WINDOWS\system32\config\systemprofile\Desktop\eyin618.exe','');
     QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{DC82FA25-E2D1-45D9-B926-B64F2A606C40}');
     DelBHO('{7B4FBDC1-F90E-428F-9C16-119BF113079D}');
     QuarantineFile('C:\WINDOWS\vbksrofa.dll','');
     QuarantineFile('C:\WINDOWS\system32\wm1dap.dll','');
     BC_DeleteSvc('wdJ06');
     QuarantineFile('C:\WINDOWS\System32\Drivers\wdJ06.sys','');
     BC_DeleteSvc('vcI06');
     QuarantineFile('C:\WINDOWS\System32\Drivers\vcI06.sys','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('Qxd63');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qxd63.sys','');
     BC_DeleteSvc('qwD41');
     QuarantineFile('C:\WINDOWS\System32\Drivers\qwD41.sys','');
     BC_DeleteSvc('qandr');
     QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
     BC_DeleteSvc('Pwd27');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd27.sys','');
     BC_DeleteSvc('Krx17');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Krx17.sys','');
     BC_DeleteSvc('krW17');
     QuarantineFile('C:\WINDOWS\System32\Drivers\krW17.sys','');
     BC_DeleteSvc('ipV06');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ipV06.sys','');
     BC_DeleteSvc('gnT63');
     QuarantineFile('C:\WINDOWS\System32\Drivers\gnT63.sys','');
     BC_DeleteSvc('flR85');
     QuarantineFile('C:\WINDOWS\System32\Drivers\flR85.sys','');
     BC_DeleteSvc('djP16');
     QuarantineFile('C:\WINDOWS\System32\Drivers\djP16.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('Ubh16');
     BC_DeleteSvc('Cjp52');
     BC_DeleteSvc('SSDPSRVPolicyAgent');
     QuarantineFile('C:\WINDOWS\system32\14c08f.exe','');
     BC_DeleteSvc('msupdate');
     QuarantineFile('msupdate.sys','');
     BC_DeleteSvc('Google Online Services');
     QuarantineFile('C:\Documents and Settings\work1\ie_updates3r.exe','');
     QuarantineFile('Wvrf53.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ubh16.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Cjp52.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\nnnoPJBt.dll','');
     QuarantineFile('C:\WINDOWS\system32\byXOGvww.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\byXOGvww.dll');
     DeleteFile('C:\WINDOWS\system32\nnnoPJBt.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Cjp52.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\hnT52.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ubh16.sys');
     DeleteFile('Wvrf53.sys');
     DeleteFile('C:\Documents and Settings\work1\ie_updates3r.exe');
     DeleteFile('msupdate.sys');
     DeleteFile('C:\WINDOWS\system32\14c08f.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Cjp52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\hnT52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ubh16.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\djP16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\flR85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\gnT63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ipV06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\krW17.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\qwD41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qxd63.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\vcI06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\wdJ06.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\wm1dap.dll');
     DeleteFile('C:\WINDOWS\vbksrofa.dll');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('byXOGvww.dll');
     DeleteFile('C:\WINDOWS\system32\wind32.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Desktop\eyin618.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    скрипт выполнил в безопасном - теперь сбор карантина в нормальном режиме вроде работает

  5. #4
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    при перезагруске Нод находит уже другой файл elQ41.sys. Высылаю карантин и новые логи
    Последний раз редактировалось Sharky1984; 11.07.2008 в 13:53.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скачайте - C:\WINDOWS\system32\Drivers\Cjp52.sys ,C:\WINDOWS\system32\Drivers\Ubh16.sys правой кнопкой -force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{899F958D-564C-4AFE-92C5-989B886918A8}');
     DelBHO('{7B4FBDC1-F90E-428F-9C16-119BF113079D}');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Pwd27');
     BC_DeleteSvc('ovC74');
     BC_DeleteSvc('Krx17');
     BC_DeleteSvc('Bin41');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('Ubh16');
     BC_DeleteSvc('Cjp52');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Cjp52.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ubh16.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bin41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Krx17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ovC74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pwd27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\byXOGvww.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('byXOGvww.dll');
     DeleteFile('C:\WINDOWS\system32\nnnoPJBt.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.bak');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.bak');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  7. #6
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    вроде все нормально

    самое странное это то что Нод этих файлах не палит даже если проверить каждый файл по очереди причем на него базы последние
    Последний раз редактировалось Sharky1984; 11.07.2008 в 13:53.

  8. #7
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    спасибо большое всем хелперам

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ..
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll','');
     BC_DeleteSvc('elQ41');
     QuarantineFile('C:\Program Files\JavaCore\JavaCore.exe','');
     DeleteFile('C:\Program Files\JavaCore\JavaCore.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\elQ41.sys');
     DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    новые логи... вроде все стало на своих местах
    Последний раз редактировалось Sharky1984; 11.07.2008 в 13:53.

  11. #10
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    спасибо большое

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O4 - HKCU..Run: [JavaCore] C:Program Files\JavaCore\JavaCore.exe
    выполните скрипт
    Код:
    begin
     DeleteFile('C:\Program Files\\JavaCore\\JavaCore.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    19.03.2008
    Сообщений
    67
    Вес репутации
    0
    да вроде и так чисто. К кому надо обратиться чтоб выучить все это? я хочу знать как это делается

    Добавлено через 4 минуты

    огромное спасибо всем хелперам особенно В_Бонду - вы лучшие.
    Последний раз редактировалось Sharky1984; 28.05.2008 в 21:12. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Sharky1984 Посмотреть сообщение
    К кому надо обратиться чтоб выучить все это?
    NickGolovko ведает набором студентов на курсы.

  • Уважаемый(ая) Sharky1984, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. iexplore.exe
      От Lakersfanis в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.08.2010, 15:06
    2. iexplore.exe
      От foxdenis в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 12.08.2010, 13:22
    3. iexplore.exe
      От lokomot в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.03.2010, 18:15
    4. iexplore.exe
      От MUTOLATOR в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:46
    5. iexplore.exe
      От Pastor в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 03:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00349 seconds with 16 queries