-
Junior Member
- Вес репутации
- 0
Ubh16.sys, iexplore.exe
Всем здравствуйте, буду краток, ситуация не из лучших: на компьютере-жертвы долго не было антивируса, как только я поставил чистка прошла успешно. Но кое-что еще осталось наверное потому как при каждой перезагрузке Нод ругается на этот файл C:\Windows\System32\drivers\Ubh16.sys помещает его в карантин но от этого не лучше. Причем при каждой перезагрузке присутствует процесс IEXPLORE.EXE плюс очень много svchost-ов и 3 штуки winlogon.exe. помогите пожалуйста логи присутствуют. АВЗ удалось запустить только в безопасном режиме - в обычном режиме выдает синий экран
Последний раз редактировалось Sharky1984; 11.07.2008 в 14:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
не зловредных файлов в ваших логах не обнаружено
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
quarantineFile('C:\WINDOWS\system32\config\systemprofile\Desktop\eyin618.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{DC82FA25-E2D1-45D9-B926-B64F2A606C40}');
DelBHO('{7B4FBDC1-F90E-428F-9C16-119BF113079D}');
QuarantineFile('C:\WINDOWS\vbksrofa.dll','');
QuarantineFile('C:\WINDOWS\system32\wm1dap.dll','');
BC_DeleteSvc('wdJ06');
QuarantineFile('C:\WINDOWS\System32\Drivers\wdJ06.sys','');
BC_DeleteSvc('vcI06');
QuarantineFile('C:\WINDOWS\System32\Drivers\vcI06.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('Qxd63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxd63.sys','');
BC_DeleteSvc('qwD41');
QuarantineFile('C:\WINDOWS\System32\Drivers\qwD41.sys','');
BC_DeleteSvc('qandr');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
BC_DeleteSvc('Pwd27');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd27.sys','');
BC_DeleteSvc('Krx17');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx17.sys','');
BC_DeleteSvc('krW17');
QuarantineFile('C:\WINDOWS\System32\Drivers\krW17.sys','');
BC_DeleteSvc('ipV06');
QuarantineFile('C:\WINDOWS\System32\Drivers\ipV06.sys','');
BC_DeleteSvc('gnT63');
QuarantineFile('C:\WINDOWS\System32\Drivers\gnT63.sys','');
BC_DeleteSvc('flR85');
QuarantineFile('C:\WINDOWS\System32\Drivers\flR85.sys','');
BC_DeleteSvc('djP16');
QuarantineFile('C:\WINDOWS\System32\Drivers\djP16.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Ubh16');
BC_DeleteSvc('Cjp52');
BC_DeleteSvc('SSDPSRVPolicyAgent');
QuarantineFile('C:\WINDOWS\system32\14c08f.exe','');
BC_DeleteSvc('msupdate');
QuarantineFile('msupdate.sys','');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\Documents and Settings\work1\ie_updates3r.exe','');
QuarantineFile('Wvrf53.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ubh16.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Cjp52.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnoPJBt.dll','');
QuarantineFile('C:\WINDOWS\system32\byXOGvww.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\byXOGvww.dll');
DeleteFile('C:\WINDOWS\system32\nnnoPJBt.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Cjp52.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\hnT52.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Ubh16.sys');
DeleteFile('Wvrf53.sys');
DeleteFile('C:\Documents and Settings\work1\ie_updates3r.exe');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\system32\14c08f.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Cjp52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hnT52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ubh16.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\djP16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\flR85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gnT63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ipV06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\krW17.sys');
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qwD41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxd63.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vcI06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wdJ06.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wm1dap.dll');
DeleteFile('C:\WINDOWS\vbksrofa.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('byXOGvww.dll');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Desktop\eyin618.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 0
скрипт выполнил в безопасном - теперь сбор карантина в нормальном режиме вроде работает
-
Junior Member
- Вес репутации
- 0
при перезагруске Нод находит уже другой файл elQ41.sys. Высылаю карантин и новые логи
Последний раз редактировалось Sharky1984; 11.07.2008 в 14:53.
-
скачайте - C:\WINDOWS\system32\Drivers\Cjp52.sys ,C:\WINDOWS\system32\Drivers\Ubh16.sys правой кнопкой -force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{899F958D-564C-4AFE-92C5-989B886918A8}');
DelBHO('{7B4FBDC1-F90E-428F-9C16-119BF113079D}');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Pwd27');
BC_DeleteSvc('ovC74');
BC_DeleteSvc('Krx17');
BC_DeleteSvc('Bin41');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Ubh16');
BC_DeleteSvc('Cjp52');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Cjp52.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Ubh16.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bin41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ovC74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pwd27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\byXOGvww.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('byXOGvww.dll');
DeleteFile('C:\WINDOWS\system32\nnnoPJBt.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.bak');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 0
вроде все нормально
самое странное это то что Нод этих файлах не палит даже если проверить каждый файл по очереди причем на него базы последние
Последний раз редактировалось Sharky1984; 11.07.2008 в 14:53.
-
Junior Member
- Вес репутации
- 0
спасибо большое всем хелперам
-
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll','');
BC_DeleteSvc('elQ41');
QuarantineFile('C:\Program Files\JavaCore\JavaCore.exe','');
DeleteFile('C:\Program Files\JavaCore\JavaCore.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\elQ41.sys');
DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 0
новые логи... вроде все стало на своих местах
Последний раз редактировалось Sharky1984; 11.07.2008 в 14:53.
-
Junior Member
- Вес репутации
- 0
-
пофиксите ...
Код:
O4 - HKCU..Run: [JavaCore] C:Program Files\JavaCore\JavaCore.exe
выполните скрипт
Код:
begin
DeleteFile('C:\Program Files\\JavaCore\\JavaCore.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 0
да вроде и так чисто. К кому надо обратиться чтоб выучить все это? я хочу знать как это делается
Добавлено через 4 минуты
огромное спасибо всем хелперам особенно В_Бонду - вы лучшие.
Последний раз редактировалось Sharky1984; 28.05.2008 в 22:12.
Причина: Добавлено
-
Сообщение от
Sharky1984
К кому надо обратиться чтоб выучить все это?
NickGolovko ведает набором студентов на курсы.
-