На компе нашли кучу вирусов(появлялись какие-то файлы, грузились какие-то приложения, стартовая страница в IE менялась). Часть вирусов удалили, а часть осталась. Высылаю вам логи, с надеждой что вы поможете.
Уничтожить вирус
На компе нашли кучу вирусов(появлялись какие-то файлы, грузились какие-то приложения, стартовая страница в IE менялась). Часть вирусов удалили, а часть осталась. Высылаю вам логи, с надеждой что вы поможете.
Последний раз редактировалось Alex68; 27.05.2008 в 15:00.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Богато у вас, однако... На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строчки :Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Nnueee F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c++.exe, O2 - BHO: (no name) - {B3C31E43-0E60-4AE8-B962-B481615BB9FC} - C:\WINDOWS\system32\certmg.dll O4 - HKLM\..\Run: [SBI] C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe O4 - HKLM\..\Run: [bm] "C:\Program Files\Common Files\TrustedAntivirus\bm.exe" dm=http://trustedantivirus.com ad=http://trustedantivirus.com sd=http://ykeeper.trustedantivirus.com O4 - HKLM\..\Run: [ptask] C:\Program Files\TrustedAntivirus\ptask.exe O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file) O24 - Desktop Component 0: (no name) - http://bs.yandex.ru/count/Sa0GNbiRSoO30BjDMiD3QnIWsChIYWAgCfi1n-aiAXtCbAvuq0H1VGC0Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=23496 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\braviax.exe'); SetServiceStart('Dgj36', 4); // StopService('Dgj36'); SetServiceStart('tcpsr', 4); StopService('tcpsr'); SetServiceStart('tvsvxztc', 4); StopService('tvsvxztc'); SetServiceStart('Vyc14', 4); // StopService('Vyc14'); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('LogCrypt.dll',''); QuarantineFile('C:\WINDOWS\system32\c++.exe',''); QuarantineFile('C:\Program Files\TrustedAntivirus\ptask.exe',''); QuarantineFile('C:\Program Files\Common Files\TrustedAntivirus\bm.exe',''); QuarantineFile('C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Ycf60.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Xce47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xbe14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vaC03.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Twa25.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\rvY68.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Oru14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\mqT25.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Mps25.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Eik25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\dhlp.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vyc14.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\eaqmcluf.dat',''); QuarantineFile('C:\WINDOWS\System32\Drivers\gkN03.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Dgj36.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vyc14.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\eaqmcluf.dat',''); QuarantineFile('C:\WINDOWS\Dgj36.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\certmg.dll',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DelBHO('{B3C31E43-0E60-4AE8-B962-B481615BB9FC}'); DeleteFile('c:\windows\system32\braviax.exe'); BC_DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\certmg.dll'); BC_DeleteFile('C:\WINDOWS\system32\certmg.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\eaqmcluf.dat'); DeleteFile('C:\WINDOWS\system32\Drivers\eaqmcluf.dat'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vyc14.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\gkN03.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\eaqmcluf.dat'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Vyc14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\dhlp.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\dhlp.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Eik25.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Mps25.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\mqT25.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Oru14.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\rvY68.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Twa25.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\vaC03.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xbe14.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Xce47.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Ycf60.sys'); DeleteFile('C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe'); BC_DeleteFile('C:\DOCUME~1\SAMOIL~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\GPY7CXEB\install_sbd_en[1].exe'); DeleteFile('C:\Program Files\Common Files\TrustedAntivirus\bm.exe'); BC_DeleteFile('C:\Program Files\Common Files\TrustedAntivirus\bm.exe'); DeleteFile('C:\Program Files\TrustedAntivirus\ptask.exe'); BC_DeleteFile('C:\Program Files\TrustedAntivirus\ptask.exe'); DeleteFile('C:\WINDOWS\system32\c++.exe'); BC_DeleteFile('C:\WINDOWS\system32\c++.exe'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); BC_DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_Deletesvc('FCI'); BC_Deletesvc('Ycf60'); BC_Deletesvc('Xce47'); BC_Deletesvc('Xbe14'); BC_Deletesvc('vaC03'); BC_Deletesvc('Twa25'); BC_Deletesvc('smtpdrv'); BC_Deletesvc('rvY68'); BC_Deletesvc('runtime2'); BC_Deletesvc('protect'); BC_Deletesvc('Oru14'); BC_Deletesvc('mqT25'); BC_Deletesvc('Mps25'); BC_Deletesvc('Eik25'); BC_Deletesvc('dhlp'); BC_Deletesvc('Vyc14'); BC_Deletesvc('tvsvxztc'); BC_Deletesvc('tcpsr'); BC_Deletesvc('gkN03'); BC_Deletesvc('Dgj36'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; Executerepair(1); RebootWindows(true); end.
Вот новые логи и карантин.
Последний раз редактировалось Alex_Goodwin; 27.05.2008 в 16:23.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Dgj36\0000', 'CSConfigFlags', '1'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vyc14\0000', 'CSConfigFlags', '1'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_tcpsr\0000', 'CSConfigFlags', '1'); QuarantineFile('C:\WINDOWS\Dgj36.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_DeleteFile('C:\WINDOWS\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vyc14.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Dgj36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\ehK57.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\fjL36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\mqS36.sys'); DeleteFile('LogCrypt.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('WinCtrl32.dll'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\Temp\136312.exe'); DeleteFile('C:\WINDOWS\Temp\BN1.tmp'); DeleteFile('C:\WINDOWS\Temp\BN11.tmp'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4F.tmp'); DeleteFile('C:\WINDOWS\Temp\BN53.tmp'); DeleteFile('C:\WINDOWS\Temp\BN55.tmp'); DeleteFile('C:\WINDOWS\Temp\BN5D.tmp'); DeleteFile('C:\WINDOWS\Temp\BN66.tmp'); DeleteFile('C:\WINDOWS\Temp\BN7.tmp'); DeleteFile('C:\WINDOWS\Temp\BN73.tmp'); DeleteFile('C:\WINDOWS\Temp\BN74.tmp'); DeleteFile('C:\WINDOWS\Temp\BNF.tmp'); BC_DeleteSvc('mqS36'); BC_DeleteSvc('ehK57'); BC_DeleteSvc('Dgj36'); BC_DeleteSvc('tcpsr'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Alex_Goodwin; 27.05.2008 в 16:24.
Карантин отправила по ссылке, а вот из вложений в теме не могу его удалить, пишет нет прав. Извините, ступила.
Здравствуйте уважаемые хелперы! Комп стал работать по-веселее, спасибо. Высылаю новые файлы, посмотрите пожалуйта
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\ O20 - Winlogon Notify: ylclkusv - C:\WINDOWS\SYSTEM32\ylclkusv.dllСистема будет перезагружена. После перезагрузки, снова загрузите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=23496 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.Код:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\glock32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vyc14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vaD36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\mqS47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\jnQ36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\fjL36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\beH70.sys',''); QuarantineFile('C:\WINDOWS\system32\ylclkusv.dll',''); DeleteFile('C:\WINDOWS\system32\ylclkusv.dll'); BC_DeleteFile('C:\WINDOWS\system32\ylclkusv.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\beH70.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\beH70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\fjL36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\fjL36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\jnQ36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\jnQ36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\mqS47.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\mqS47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\vaD36.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\vaD36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vyc14.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Vyc14.sys'); DeleteFile('C:\WINDOWS\system32\glock32.exe'); BC_DeleteFile('C:\WINDOWS\system32\glock32.exe'); BC_DeleteSVC('Vyc14'); BC_DeleteSVC('vaD36'); BC_DeleteSVC('mqS47'); BC_DeleteSVC('jnQ36'); BC_DeleteSVC('fjL36'); BC_DeleteSVC('beH70'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Новые логи
Пофиксите с помощью hijackthis строки:На всякий случай, повторите лог Hijackthis. Больше я, вроде бы, ничего плохого не вижу.Код:O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\ O20 - Winlogon Notify: ylclkusv - ylclkusv.dll (file missing)
С вирусами, вроде-бы, все. Теперь с системой: виден корпоративный Mcafee (или его остатки) и Nod32. Кто из них рабочий? Компьютер, похоже, рабочий - включен в домен. Системный администратор (хотя бы, приходящий) есть?
Программа AVZ - файл - мастер поиска и устранения проблем - выберите категорию проблемы: "Системные проблемы", степень опасности: "Все проблемы" - нажмите кнопку "выполнить". Если что-то будет найдено, отметьте и нажмите кнопку "Исправить отмеченные проблемы". Перезагрузите машину и напишите, пожалуйста, наблюдаются ли еще какие-нибудь проблемы.
Рабочий Nod32, а от Мсаfee - действительно остатки, я его убрала. Да и комп рабочий и администратор есть и очень даже не приходящий, а постоянный. Тока он занятый оччень - по нашей конторской сети толпа вирусов гуляет. А у него метод борьбы с вирусами - переустановка системы. На это уходит дня 4-5 и потом, иногда нужные документы пропадают. Так что я Вашими силами попользовалась, извините, конечно, просто больше никто не поможет. А комп работает, можно сказать хорошо даже, спасибо
Здравствуйте, Numb!!!. Все сделала как Вы меня научили, комп работает как новенький. Спасибо огромное. Выручили.
Здравствуйте. Что работает, это хорошо. Рекомендации дальше давать сложно, в принципе, это работа вашего сисадмина - не допустить заражения вашей машины. Если справитесь, рекомендовал бы настроить запуск вашего браузера через dropmyrights - это сделает ваш интернет-серфинг значительно более безопасным. Допустить такую картинку, какая была на вашей машине, постоянный администратор может в двух случаях: первый - ему в наследство досталась уже сильно завирусованная локальная сеть и он просто не справляется в одиночку с чисткой машин в сети; второй - он не может/не хочет заниматься своими прямыми обязанностями. В первом случае, я бы порекомендовал подумать о расширении IT-отдела, во втором - о дополнительномстимуле, или, вообще, о смене сисадмина.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 100
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\samoilenko\\мои документы\\backups\\backup-20080527-130613-301.dll - Rootkit.Win32.Podnuha.ay (DrWEB: Trojan.DownLoader.56883)
- c:\\windows\\system32\\braviax.exe - not-virus:Hoax.Win32.Bravia.be (DrWEB: Trojan.Fakealert.509)
- c:\\windows\\system32\\certmg.dll - Rootkit.Win32.Podnuha.ay (DrWEB: Trojan.DownLoader.56883)
- c:\\windows\\system32\\drivers\\eik25.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\mps25.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\oru14.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\twa25.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\xbe14.sys - Trojan-Downloader.Win32.Mutant.aim
- c:\\windows\\system32\\drivers\\xce47.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\drivers\\ycf60.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.yr (DrWEB: Trojan.DownLoader.62373)
- c:\\windows\\system32\\ylclkusv.dll - Trojan.Win32.Pakes.czu (DrWEB: Trojan.Inject.3435)
- c:\\windows\\temp\\bn2.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
- c:\\windows\\temp\\bn66.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
- c:\\windows\\temp\\bn73.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
- c:\\windows\\temp\\bn74.tmp - Trojan-Dropper.Win32.Agent.rpn (DrWEB: BackDoor.Bulknet.194)
Уважаемый(ая) Alex68, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
