Лечение установленным Симантеком и CureIt'ом не помогло. Файлы прикрепил.
Убить трояна-комп рассылает спам
Лечение установленным Симантеком и CureIt'ом не помогло. Файлы прикрепил.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\W\system32\wind32.exe',''); QuarantineFile('M1000Rmv.exe',''); QuarantineFile('C:\W\system32\wupdmng.exe',''); QuarantineFile('WinNt32.dll',''); BC_DeleteSvc('tcpsr'); QuarantineFile('C:\W\System32\drivers\tcpsr.sys',''); BC_DeleteSvc('nuB63'); QuarantineFile('C:\W\System32\drivers\nuB63.sys',''); BC_DeleteSvc('agM41'); QuarantineFile('C:\W\System32\drivers\agM41.sys',''); QuarantineFile('c:\w\runservice.exe',''); DeleteFile('C:\W\System32\drivers\agM41.sys'); DeleteFile('C:\W\System32\drivers\nuB63.sys'); DeleteFile('C:\W\System32\drivers\tcpsr.sys'); DeleteFile('WinNt32.dll'); DeleteFile('M1000Rmv.exe'); DeleteFile('C:\W\system32\wind32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Повторяю логи
C:\W\system32\wind32.exe- Email-Worm.Win32.Zhelatin.zj (kaspersky)
C:\W\system32\WinNt32.dll -Trojan-Downloader.Win32.Mutant.acm (kaspersky)
C:\W\system32\wupdmng.exe- свежий троян
c:\w\runservice.exe-свежий троян
Последний раз редактировалось drongo; 05.06.2008 в 13:17.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: reset5 - C:\W\SYSTEM32\reset5.dll O20 - Winlogon Notify: WinNt32 - C:\W\
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\W\system32\clvsdg.exe',''); DeleteFile('C:\W\system32\wupdmng.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
I am not young enough to know everything...
Вот это сделайте потом, карантин новый загрузить.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\W\system32\Drivers\GLOGODrv.sys',''); QuarantineFile('C:\W\System32\drivers\WINDRVR.SYS',''); QuarantineFile('C:\W\system32\wupdmng.exe',''); QuarantineFile('C:\W\system32\clvsdg.exe',''); QuarantineFile('C:\W\system32\DRIVERS\rksample.sys',''); QuarantineFile('C:\W\system32\DRIVERS\basic2.sys',''); QuarantineFile('C:\W\System32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\W\system32\drivers\sptddrv1.sys',''); TerminateProcessByName('c:\w\system32\wupdmng.exe'); TerminateProcessByName('c:\w\runservice.exe'); DeleteFile('C:\W\system32\clvsdg.exe'); DeleteFile('c:\w\runservice.exe'); DeleteFile('c:\w\system32\wupdmng.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ощущение, что первоначально загрузил старый архив
После перезагрузки вылезла такая хня:Сообщение от drongo
Восстановление Active Desktop
Произошла непредвиденная ошибка Windows. В качестве предосторожности был отключен рабочий стол Active Desktop. Для восстановления Active Desktop выполните следующие действия:
Перестал работать обозреватель, или же вы перезагрузили компьютер, не завершив работу Windows? В этом случае нажмитеи т.д.
Последний раз редактировалось Alex_Goodwin; 06.06.2008 в 15:49. Причина: Добавлено
Ну там же есть, что нажать для восстановления раб. стола. Не помогает?
I am not young enough to know everything...
Да не, помоглоПросто не двигался без команды старших по званию
Хотелось бы понять, окончательный вердикт по последним карантинам будет?
clvsdg.exe - Trojan.Win32.Inject.cpd
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Логи сделал
новый день - новая гадость .
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('asc3550p'); QuarantineFile('C:\Documents and Settings\Борис.QQ\cftmon.exe',''); BC_DeleteSvc('WMPNetworkSvcFastUserSwitchingCompatibility'); QuarantineFile('C:\W\system32\icsxmlp.exe',''); BC_DeleteSvc('COMSysAppccPwdSvc'); QuarantineFile('C:\W\system32\c_1252y.exe',''); BC_DeleteSvc('Schedule'); QuarantineFile('\W\system32\ntkrnlpa.exe',''); QuarantineFile('C:\W\system32\WinCtrl32.dll',''); QuarantineFile('C:\W\system32\drivers\spools.exe',''); QuarantineFile('c:\w\system32\drivers\spools.exe',''); DeleteFile('c:\w\system32\drivers\spools.exe'); DeleteFile('C:\W\system32\drivers\spools.exe'); DeleteFile('C:\W\system32\WinCtrl32.dll'); DeleteFile('C:\W\system32\c_1252y.exe'); DeleteFile('C:\W\system32\icsxmlp.exe'); DeleteFile('C:\Documents and Settings\Борис.QQ\cftmon.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Ув. хэлперы, меня вот что беспокоит - сегодня поставил ProcessGuard, заменил Atguard на Outpost. Может быть не надо было этого делать, а дождаться конечного рез-та вашей работы?
выполните скрипт...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\Соня.QQ\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temporary Internet Files\Content.IE5\O36Z21A1\windd[1].exe',''); QuarantineFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temp\E.tmp',''); DeleteService('asc3550p'); BC_DeleteSvc('Schedule'); QuarantineFile('asc3550p.sys',''); DeleteFile('C:\W\system32\DRIVERS\asc3550p.sys'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe'); DeleteFile('C:\Documents and Settings\Наташа.QQ\cftmon.exe'); DeleteFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temp\E.tmp'); DeleteFile('C:\Documents and Settings\Наташа.QQ\Local Settings\Temporary Internet Files\Content.IE5\O36Z21A1\windd[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Выполняю ...
Загружаю ...
Повторяю ...
было:
cftmon.exe - Worm.Win32.AutoRun.eav
icsxmlp.exe - Trojan.Win32.Inject.cpd
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.adg
Поставил Касперского. Нашел 23 троянца/вируса. Вот новые логи.
пофиксите ..
выполните скрипт ...Код:O20 - Winlogon Notify: WinCtrl32 - C:\W\
повторите логи начиная с пункта 10 правил ...Код:begin BC_DeleteSvc('asc3550p'); BC_Activate; RebootWindows(true); end.
Фиксю ...
Выполняю ...
Повторяю логи ...
Уважаемый(ая) Nameless_54, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
