-
Junior Member
- Вес репутации
- 59
Win32/Wigon.BY (IT) и тыщи писем
доброго дня. столкнулся с проблемой. где и как словил - не знаю, но стабильно при отключении компа при пропадания света, после его включения начинается бешенная рассылка писем, которе проверяюстя
Symantek Corp Edition.. за 10 секунд в проверке уже до 100 писем, оно формируется, проверяется, но не отсылается. но комп за 30 сек встаёт на тугой ручник .. т.е. эти письма всё создаются и создаются.. проверка идёт и идёт, весь экран уже в проверках.. ну и комп почти висит.. помогает только выдернуть сетевой шнурок и сам передатчик (инет бесппроволной)..
пришлось сменить симантек на более мирно и тихоорущий нод32, но и он не в состоянии удалить hmq74.sys в C:\WINDOWS\system32\Drivers\Hmq47.sys - там вроде как вирус есть, но не лечится...
уже не знаю что делать. помогите. комп на работе, является "сервером" для 6 других.... надолго тушить не могу, да и люди очень нервничают...
Заранее большое спасибо!
Последний раз редактировалось JusT; 30.05.2008 в 17:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачать http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Выбрать File. Найти 'C:\WINDOWS\system32\Drivers\Hmq47.sys', 'C:\WINDOWS\system32\WinNt32.dll', нажать delete,
подтвердить Ок.
После этого выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Uyc58', 4);
QuarantineFile('C:\WINDOWS\system32\ntsim.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hmq47.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Uyc58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmq47.sys');
DeleteFile('C:\WINDOWS\Temp\BN3.tmp');
BC_DeleteSvc('Uyc58');
BC_DeleteSvc('Hmq47');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин по ссылке вверху темы. Сделать новые логи.
З.Ы. У меня Симантек 10 Корп. достаточно успешно справляется с этими зверями.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
при повторных сканах - появились новые *****.sys $((
таких раньше не было
кстати, той програмкой , которой надо было делать делит - оно не вытирало почемуто ;*(
вроде как функция срабатывала - но при повторном заходе в туже папку - искомый файл там был.
после всех манипуляций, и отключения антивиря - наблюдается процесс еже_двух минутной комутации инет соединения.. обрыв - и тут же подключение... и так каждые 2 минуты
архив карантина выслал по форме вверху
ЗЫ - а можно в личку ссыльку или точное название на пакет симантека , который справляется?
если это не запрещено конечно...
ЗЫЫ появилось ощущение, что это недолечиеный вирус, который мне менял beep.sys - 3 раза в секунду бип сис помещался в карантин... лечил dr web cure it
Последний раз редактировалось JusT; 30.05.2008 в 17:13.
-
У нас Симантек ядро 10.1.6.6010, сканер - 71.4.0.15
Еще один руткит в логах появился. Ситуация несколько ухудшился.
Скрипт для удаления нового гада:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vbtenum.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('hkcom32.dll','');
QuarantineFile('C:\WINDOWS\system32\vbcqttg.dll','');
DeleteFile('C:\WINDOWS\system32\vbcqttg.dll');
DeleteFile('hkcom32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\vbtenum.sys');
DelBHO('{FFFFFFFF-8F0D-4322-B01F-B42439E0B71C}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если что-то попадет в карантин, то загрузить.
Добавлено через 15 минут
Кстати, давай и beep.sys за компанию присылай. Не помешает его проверить.
Последний раз редактировалось PavelA; 30.05.2008 в 12:56.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
не хочет карантинится..может чтото не так делаю
да и наззвается он теперь beeper.sys а не beep.sys
логи новые + карантин высланы
Последний раз редактировалось JusT; 30.05.2008 в 17:13.
-
вот для этого в icesword сделай force delete.
C:\WINDOWS\system32\Drivers\Fjm36.sys
WinNt32.dll
'C:\WINDOWS\System32\drivers\tcpsr.sys'
После этого сразу же скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fjm36.sys');
BC_DeleteSvc('Fjm36');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Вот это надо профиксить:
O20 - Winlogon Notify: vbcqttg - vbcqttg.dll (file missing)
После этого сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
уточните последовательность. после скрипта ребут и потом фиксить ?
-
Да, именно так. Хотя профиксить можно и до скрипта, этот файлик мы уже удалили.
Самое главное убить то, что написано сверху.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
'C:\WINDOWS\System32\drivers\tcpsr.sys'
не удалось обнаружить ничего подобного.
нив систем, ни в систем32
зато по логу зверёк Fjm36.sys стал с новым именем... *****,sys
там в логах будет процесс от intess-qdpro (єто рабочие библиотеки лиценз. софта)
огромная просьба не скриптовать против них ничего.
Последний раз редактировалось JusT; 30.05.2008 в 17:13.
-
Отключите антивирус и интернет!
В IceSword сделайте этим файлам WinNt32.dll,Xcf60.sys-Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Beep.sys','');
QuarantineFile('C:\Program Files\Maxthon\SETUPAPI.dll','');
DeleteService('Xcf60');
DeleteFile('C:\WINDOWS\System32\drivers\Xcf60.sys');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xcf60 ');
BC_DeleteSvc('tcpsr ');
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
Пришлите карантин,повторите логи.
-
-
Junior Member
- Вес репутации
- 59
перед последней зачисткой, дабы отрубить вход в инет и антивирь - в мсконфиге обнаружил новый процесс - glock32.exe -
//windows/system32/glock.exe
отключил на всякий.
логи и карантин прикладываю.
не рприкладывается.. ;(( говорит что уже было.
Последний раз редактировалось JusT; 30.05.2008 в 17:13.
-
Удалите старые логи через "Мой кабинет"=>"Управление вложениями"
-
-
Junior Member
- Вес репутации
- 59
вроде пока тихо...
логи и карантин выслал
Последний раз редактировалось JusT; 26.03.2009 в 14:28.
-
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
По SETUPAPI.dll подождем ответа аналитиков.
-
-
Junior Member
- Вес репутации
- 59
пофиксено
огромное спасибо..
вроде картинка начинает блистать )
я совсем потерял надежду на ремонт
советом не обрадуете - что именно лучше использовать на 1600duron/512mb ram
машине, для предотвращения вот подобного
имеется ввиду, чтобы не грузило сильно, лечило, и блочило.
антивирная утилита авз - сгодится ? или это только мануальный чеккер ?
-
AVZ - это ручной инструмент. Вам нужен постоянный мониторинг - антивирус. Рекомендуемые - http://virusinfo.info/showthread.php?t=1550
-
-
Блин!!!! Как я забыл о перезагрузке после удаления в "Мече".
Пепел на мою уже седую голову!! Пора заниматься только со статистикой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Павел, Вы ничего не забыли. IceSword при использовании force delete спрашивает "Вы уверены? Вам лучше перезагрузиться", при нажатии "да" естественно никакой перезагрузки автоматом не происходит, это просто рекомендация
И перезагружать сразу после удаления самостоятельно совсем не обязательно. Лучше сразу после удаления в IceSword выполнить добивающий скрипт в AVZ, который перезагрузит компьютер.
-
-
Сообщение от
JusT
пофиксено
огромное спасибо..
вроде картинка начинает блистать )
я совсем потерял надежду на ремонт
советом не обрадуете - что именно лучше использовать на 1600duron/512mb ram
машине, для предотвращения вот подобного
имеется ввиду, чтобы не грузило сильно, лечило, и блочило.
антивирная утилита авз - сгодится ? или это только мануальный чеккер ?
Перейдите под учетную запись ограниченного пользователя, отключите глобально скрипты и плагины (только доверенным разрешайте), отключите автозапуск.
-
-
SETUPAPI.dll - Trojan.Win32.Agent.qud
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Maxthon\SETUPAPI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи начиная с п.10 правил
-