На компе нашли кучу вирусов(появлялись какие-то файлы, грузились какие-то приложения, стартовая страница в IE менялась). Часть вирусов удалили, а часть осталась. Высылаю вам логи, с надеждой что вы поможете.
На компе нашли кучу вирусов(появлялись какие-то файлы, грузились какие-то приложения, стартовая страница в IE менялась). Часть вирусов удалили, а часть осталась. Высылаю вам логи, с надеждой что вы поможете.
Последний раз редактировалось Alex68; 27.05.2008 в 15:00.
Богато у вас, однако... На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строчки :Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Nnueee F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c++.exe, O2 - BHO: (no name) - {B3C31E43-0E60-4AE8-B962-B481615BB9FC} - C:\WINDOWS\system32\certmg.dll O4 - HKLM\..\Run: [SBI] C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe O4 - HKLM\..\Run: [bm] "C:\Program Files\Common Files\TrustedAntivirus\bm.exe" dm=http://trustedantivirus.com ad=http://trustedantivirus.com sd=http://ykeeper.trustedantivirus.com O4 - HKLM\..\Run: [ptask] C:\Program Files\TrustedAntivirus\ptask.exe O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file) O24 - Desktop Component 0: (no name) - http://bs.yandex.ru/count/Sa0GNbiRSoO30BjDMiD3QnIWsChIYWAgCfi1n-aiAXtCbAvuq0H1VGC0Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=23496 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\braviax.exe'); SetServiceStart('Dgj36', 4); // StopService('Dgj36'); SetServiceStart('tcpsr', 4); StopService('tcpsr'); SetServiceStart('tvsvxztc', 4); StopService('tvsvxztc'); SetServiceStart('Vyc14', 4); // StopService('Vyc14'); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('LogCrypt.dll',''); QuarantineFile('C:\WINDOWS\system32\c++.exe',''); QuarantineFile('C:\Program Files\TrustedAntivirus\ptask.exe',''); QuarantineFile('C:\Program Files\Common Files\TrustedAntivirus\bm.exe',''); QuarantineFile('C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Ycf60.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Xce47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xbe14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vaC03.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Twa25.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\rvY68.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Oru14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\mqT25.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Mps25.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Eik25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\dhlp.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vyc14.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\eaqmcluf.dat',''); QuarantineFile('C:\WINDOWS\System32\Drivers\gkN03.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Dgj36.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vyc14.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\eaqmcluf.dat',''); QuarantineFile('C:\WINDOWS\Dgj36.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\certmg.dll',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DelBHO('{B3C31E43-0E60-4AE8-B962-B481615BB9FC}'); DeleteFile('c:\windows\system32\braviax.exe'); BC_DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\certmg.dll'); BC_DeleteFile('C:\WINDOWS\system32\certmg.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\eaqmcluf.dat'); DeleteFile('C:\WINDOWS\system32\Drivers\eaqmcluf.dat'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vyc14.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\gkN03.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\eaqmcluf.dat'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Vyc14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\dhlp.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\dhlp.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Eik25.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Mps25.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\mqT25.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Oru14.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\rvY68.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Twa25.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\vaC03.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xbe14.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Xce47.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Ycf60.sys'); DeleteFile('C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe'); BC_DeleteFile('C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe'); DeleteFile('C:\Program Files\Common Files\TrustedAntivirus\bm.exe'); BC_DeleteFile('C:\Program Files\Common Files\TrustedAntivirus\bm.exe'); DeleteFile('C:\Program Files\TrustedAntivirus\ptask.exe'); BC_DeleteFile('C:\Program Files\TrustedAntivirus\ptask.exe'); DeleteFile('C:\WINDOWS\system32\c++.exe'); BC_DeleteFile('C:\WINDOWS\system32\c++.exe'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); BC_DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_Deletesvc('FCI'); BC_Deletesvc('Ycf60'); BC_Deletesvc('Xce47'); BC_Deletesvc('Xbe14'); BC_Deletesvc('vaC03'); BC_Deletesvc('Twa25'); BC_Deletesvc('smtpdrv'); BC_Deletesvc('rvY68'); BC_Deletesvc('runtime2'); BC_Deletesvc('protect'); BC_Deletesvc('Oru14'); BC_Deletesvc('mqT25'); BC_Deletesvc('Mps25'); BC_Deletesvc('Eik25'); BC_Deletesvc('dhlp'); BC_Deletesvc('Vyc14'); BC_Deletesvc('tvsvxztc'); BC_Deletesvc('tcpsr'); BC_Deletesvc('gkN03'); BC_Deletesvc('Dgj36'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; Executerepair(1); RebootWindows(true); end.
Вот новые логи и карантин.
Последний раз редактировалось Alex_Goodwin; 27.05.2008 в 16:23.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Dgj36\0000', 'CSConfigFlags', '1'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vyc14\0000', 'CSConfigFlags', '1'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_tcpsr\0000', 'CSConfigFlags', '1'); QuarantineFile('C:\WINDOWS\Dgj36.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vyc14.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\ehK57.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\fjL36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\mqS36.sys'); DeleteFile('LogCrypt.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('WinCtrl32.dll'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\Temp\136312.exe'); DeleteFile('C:\WINDOWS\Temp\BN1.tmp'); DeleteFile('C:\WINDOWS\Temp\BN11.tmp'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4F.tmp'); DeleteFile('C:\WINDOWS\Temp\BN53.tmp'); DeleteFile('C:\WINDOWS\Temp\BN55.tmp'); DeleteFile('C:\WINDOWS\Temp\BN5D.tmp'); DeleteFile('C:\WINDOWS\Temp\BN66.tmp'); DeleteFile('C:\WINDOWS\Temp\BN7.tmp'); DeleteFile('C:\WINDOWS\Temp\BN73.tmp'); DeleteFile('C:\WINDOWS\Temp\BN74.tmp'); DeleteFile('C:\WINDOWS\Temp\BNF.tmp'); BC_DeleteSvc('mqS36'); BC_DeleteSvc('ehK57'); BC_DeleteSvc('Dgj36'); BC_DeleteSvc('tcpsr'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Alex_Goodwin; 27.05.2008 в 16:24.
Карантин отправила по ссылке, а вот из вложений в теме не могу его удалить, пишет нет прав. Извините, ступила.
Здравствуйте уважаемые хелперы! Комп стал работать по-веселее, спасибо. Высылаю новые файлы, посмотрите пожалуйта
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\ O20 - Winlogon Notify: ylclkusv - C:\WINDOWS\SYSTEM32\ylclkusv.dllСистема будет перезагружена. После перезагрузки, снова загрузите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=23496 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.Код:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\glock32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vyc14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vaD36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\mqS47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\jnQ36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\fjL36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\beH70.sys',''); QuarantineFile('C:\WINDOWS\system32\ylclkusv.dll',''); DeleteFile('C:\WINDOWS\system32\ylclkusv.dll'); BC_DeleteFile('C:\WINDOWS\system32\ylclkusv.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\beH70.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\beH70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\fjL36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\fjL36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\jnQ36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\jnQ36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\mqS47.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\mqS47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\vaD36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\vaD36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vyc14.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Vyc14.sys'); DeleteFile('C:\WINDOWS\system32\glock32.exe'); BC_DeleteFile('C:\WINDOWS\system32\glock32.exe'); BC_DeleteSVC('Vyc14'); BC_DeleteSVC('vaD36'); BC_DeleteSVC('mqS47'); BC_DeleteSVC('jnQ36'); BC_DeleteSVC('fjL36'); BC_DeleteSVC('beH70'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Новые логи
Пофиксите с помощью hijackthis строки:На всякий случай, повторите лог Hijackthis. Больше я, вроде бы, ничего плохого не вижу.Код:O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\ O20 - Winlogon Notify: ylclkusv - ylclkusv.dll (file missing)
С вирусами, вроде-бы, все. Теперь с системой: виден корпоративный Mcafee (или его остатки) и Nod32. Кто из них рабочий? Компьютер, похоже, рабочий - включен в домен. Системный администратор (хотя бы, приходящий) есть?
Программа AVZ - файл - мастер поиска и устранения проблем - выберите категорию проблемы: "Системные проблемы", степень опасности: "Все проблемы" - нажмите кнопку "выполнить". Если что-то будет найдено, отметьте и нажмите кнопку "Исправить отмеченные проблемы". Перезагрузите машину и напишите, пожалуйста, наблюдаются ли еще какие-нибудь проблемы.
Рабочий Nod32, а от Мсаfee - действительно остатки, я его убрала. Да и комп рабочий и администратор есть и очень даже не приходящий, а постоянный. Тока он занятый оччень - по нашей конторской сети толпа вирусов гуляет. А у него метод борьбы с вирусами - переустановка системы. На это уходит дня 4-5 и потом, иногда нужные документы пропадают. Так что я Вашими силами попользовалась, извините, конечно, просто больше никто не поможет. А комп работает, можно сказать хорошо даже, спасибо. А логи я завтра сделаю, ОК?
Здравствуйте, Numb!!!. Все сделала как Вы меня научили, комп работает как новенький. Спасибо огромное. Выручили.
Здравствуйте. Что работает, это хорошо. Рекомендации дальше давать сложно, в принципе, это работа вашего сисадмина - не допустить заражения вашей машины. Если справитесь, рекомендовал бы настроить запуск вашего браузера через dropmyrights - это сделает ваш интернет-серфинг значительно более безопасным. Допустить такую картинку, какая была на вашей машине, постоянный администратор может в двух случаях: первый - ему в наследство досталась уже сильно завирусованная локальная сеть и он просто не справляется в одиночку с чисткой машин в сети; второй - он не может/не хочет заниматься своими прямыми обязанностями. В первом случае, я бы порекомендовал подумать о расширении IT-отдела, во втором - о дополнительном стимуле, или, вообще, о смене сисадмина.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 100
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\samoilenko\\мои документы\\backups\\backup-20080527-130613-301.dll - Rootkit.Win32.Podnuha.ay (DrWEB: Trojan.DownLoader.56883)
- c:\\windows\\system32\\braviax.exe - not-virus:Hoax.Win32.Bravia.be (DrWEB: Trojan.Fakealert.509)
- c:\\windows\\system32\\certmg.dll - Rootkit.Win32.Podnuha.ay (DrWEB: Trojan.DownLoader.56883)
- c:\\windows\\system32\\drivers\\eik25.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\mps25.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\oru14.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\twa25.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\xbe14.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\drivers\\xce47.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\ycf60.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.yr (DrWEB: Trojan.DownLoader.62373)
- c:\\windows\\system32\\ylclkusv.dll - Trojan.Win32.Pakes.czu (DrWEB: Trojan.Inject.3435)
- c:\\windows\\temp\\bn2.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
- c:\\windows\\temp\\bn66.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
- c:\\windows\\temp\\bn73.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
- c:\\windows\\temp\\bn74.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
Уважаемый(ая) Alex68, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.