Собственно, вот. Не удаляются winnt32.dll и Oty05.sys. В Hijackthis пытаюсь фиксить winnt32.dll -не получается. Чуствую, что решение простое, но сам пока не догадываюсь. Помогите, если не трудно.
Собственно, вот. Не удаляются winnt32.dll и Oty05.sys. В Hijackthis пытаюсь фиксить winnt32.dll -не получается. Чуствую, что решение простое, но сам пока не догадываюсь. Помогите, если не трудно.
скачайте -C:\WINDOWS\system32\Drivers\Oty05.sys , C:\WINDOWS\System32\drivers\tcpsr.sys force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Xdi27'); BC_DeleteSvc('Sxd62'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Qxd28'); BC_DeleteSvc('Qwc73'); BC_DeleteSvc('Qwc16'); BC_DeleteSvc('Pua73'); BC_DeleteSvc('Jpu73'); BC_DeleteSvc('grande48'); QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jpu73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pua73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwc16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwc73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qxd28.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xdi27.sys'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Oty05.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
К сожалению карантин смогу прислать только завтра. Спасибо
Уфф. Все сделал, как рекомендовано. Как ни странно в карантине ничего не оказалось. Зато исчез winnt32.dll, но на его месте появился пресловутый и не однажды упомянутый WinCtrl32.dll При перезагрузке нод32 обнаружил и удалил зверьков. Вот логи
Причем файл (WinCtrl32.dll) восстанавливался при перезагрузке. По поиску нашел скрипт..27.05.2008 10:14:28 AMON файл C:\WINDOWS\system32\drivers\wcH51.sys модифицированный Win32/TrojanDownloader.Wigon.O троян изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\TEMP\BN2.tmp.
27.05.2008 9:05:26 AMON файл C:\WINDOWS\System32\drivers\lrW62.sys модифицированный Win32/TrojanDownloader.Wigon.O троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN2.tmp.
После перезагрузки нод32 отловил вот это
Потом вручную удалил (с помощью IceSword) WinCtrl32.dll и пофиксил хайджеке соответствующую строку. Вот. Кстати, карантин оказался с добычей. Высылаю его+файлы из карантина нода.27.05.2008 10:14:28 AMON файл C:\WINDOWS\system32\drivers\wcH51.sys модифицированный Win32/TrojanDownloader.Wigon.O троян изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\TEMP\BN2.tmp.
Надо ставить KIS.
Кстати, там где была гадость, есть локальная сеть. На машинах стоит нод32 с последними базами. Какова вероятность того, что все это перекочевала на соседнюю машину?
Добавлено через 30 минут
Карантин и и папку с вловленными зверьками отослал. Названия файлов соответственно quarantine.zip и infected.zip
Последний раз редактировалось Alex_Goodwin; 27.05.2008 в 17:30. Причина: Добавлено
Логи повторите.
чужие скрипты выполнять нельзя !!!По поиску нашел скрипт
антивирус нужно отключать на время выполнения скрипта ...
Сходил в контору, снял логи. Вот. Поставил KIS 7. Он еще обрывки нашел. Спасибо
Лог Хиджака покажи, плс. По логам АВЗ зверь еще жив.
Выполнить:
сделать новые логи.Код:begin QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\msX16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\lrW62.sys',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Ekp62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oty05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\wcH51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\msX16.sys'); BC_DeleteSvc('msX16'); BC_DeleteSvc('wcH51'); BC_DeleteSvc('Oty05'); BC_DeleteSvc('Ekp62'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- \\infected\\duww3kda.nqf - Trojan-Dropper.Win32.Agent.stj (DrWEB: BackDoor.Bulknet.195)
- \\infected\\upkonbda.nqf - Trojan-Dropper.Win32.Agent.stj (DrWEB: BackDoor.Bulknet.195)
Уважаемый(ая) usyn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.