Junior Member
Вес репутации
59
Spyware Cyberlog-X & Trojan-Spy.Win32@mx
ОС WinXP+SP2. Компьютер очень долго грузится и медленно работает. Вечность надо ждать, чтобы открылось какое-нибудь приложение. В системе безопасности антивирусная защита - off, хотя стоит DrWeb, который обнаруживает Backdoor.hack Defener (file name: msdvdr.sys) Периодически появляются сообщения Critical System Warning: You system is probably infected with latest version of Spyware Cyberlog-X и System Alert: Trojan-Spy.Win32@mx. Прошу Вас оказать помощь в борьбе с этой напастью, так как работать невозможно.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
отключите восстановление системы ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\v0r0dw.exe','');
QuarantineFile('C:\Documents and Settings\Lobanova_SM\Рабочий стол\megz684.exe','');
QuarantineFile('C:\WINDOWS\system32\oeddm.exe','');
QuarantineFile('C:\WINDOWS\system32\efbeqlp.exe','');
QuarantineFile('C:\WINDOWS\system32\bqgf.exe','');
QuarantineFile('C:\WINDOWS\system32\adptift.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
BC_DeleteSvc('Wouk54');
BC_DeleteSvc('Winyf85');
BC_DeleteSvc('Winms62');
BC_DeleteSvc('Winci51');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Qwc52');
BC_DeleteSvc('Qwc28');
BC_DeleteSvc('Oua85');
BC_DeleteSvc('Msx85');
BC_DeleteSvc('msdvdDrv');
QuarantineFile('C:\WINDOWS\system32\msdvdr.sys','');
BC_DeleteSvc('Jpu05');
QuarantineFile('C:\WINDOWS\system32\Beep.sys','');
BC_DeleteSvc('msdvdr');
QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
BC_DeleteSvc('Google Online Services');
QuarantineFile('C:\Documents and Settings\Lobanova_SM\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
QuarantineFile('c:\windows\system32\adptift.exe','');
DeleteFile('c:\windows\system32\adptift.exe');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\Documents and Settings\Lobanova_SM\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\msdvdr.pif');
DeleteFile('C:\WINDOWS\System32\drivers\Jpu05.sys');
DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Msx85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Oua85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Qwc28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Qwc52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winci51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winms62.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winyf85.sys');
DeleteFile('Wouk54.sys');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\adptift.exe');
DeleteFile('C:\WINDOWS\system32\bqgf.exe');
DeleteFile('C:\WINDOWS\system32\efbeqlp.exe');
DeleteFile('C:\WINDOWS\system32\oeddm.exe');
DeleteFile('C:\Documents and Settings\Lobanova_SM\Рабочий стол\megz684.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
DeleteFile('c:\v0r0dw.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
59
Все выполнил. Новые логи высылаю. Жду дальнейших указаний
С надеждой.
P.S. Cообщения пропали, но задумчивость не прошла
Вложения
Junior Member
Вес репутации
59
Что-то и на Вас задумчивость напала
Может заразились
Угу,наверное заразились вы у нас не один...
Отключите восстановление системы,антивирус и интернет!
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Lobanova_SM\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - Startup: userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Beep.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\system32\clbdll.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\clbdll.dll');
TerminateProcessByName('c:\documents and settings\lobanova_sm\svchost.exe');
DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('c:\documents and settings\lobanova_sm\svchost.exe');
DeleteFile('C:\Documents and Settings\Lobanova_SM\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Beep ');
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
Пришлите карантин и повторите логи.
Junior Member
Вес репутации
59
Спасибо за понимание ситуации. Высылаю очередные логи. Надеюсь, остался последний шажок
Вложения
отключите восстановление системы ...
Beep.sys-- пришлите согласно приложения 2 правил ....
Junior Member
Вес репутации
59
Junior Member
Вес репутации
59
Ау! люди! Я еще здесь. Хотелось бы завершить начатое.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Beep.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи с п.10 правил
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
Господа! Уважительная просьба! Посмотрите!
Бухгалтер уже третий день не может связаться с банком.
Отключите восстановление системы,там хранятся копии врагов,затем опять включите,в логах чисто...
Junior Member
Вес репутации
59
Прошло уже 2 часа работы компьютера с включенной службой восстановления системы. Полет нормальный. Огромное спасибо!!! Качество работы, как всегда на высоте! Одно но. Вы становитесь заложником своей суперпопулярности. Скоро к Вам надо будет записываться за месяц на прием . Лично я обращаюсь к Вам, как к последней надежде на скорую помощь, когда все средства уже бессильны. Два месяца наза Вы вылечили тот же самый компьютер гл. бухгалтера в полдня - сейчас 2 дня. "Что же будет на Земле, когда мода на детей совсем пройдет" Но все-таки спасибо, что Вы есть. Успехов Вам!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Socks.ec (DrWEB: Win32.HLLW.Venic) c:\\documents and settings\\администратор\\svchost.exe - P2P-Worm.Win32.Socks.ec (DrWEB: Win32.HLLW.Venic) c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ec (DrWEB: Win32.HLLW.Venic) c:\\windows\\system32\\adptift.exe - not-a-virus:FraudTool.Win32.SecurityAlert.c (DrWEB: Trojan.Fakealert.816) c:\\windows\\system32\\beep.sys - Rootkit.Win32.Clbd.bv (DrWEB: Trojan.NtRootKit.1232) c:\\windows\\system32\\clbdll.dll - Rootkit.Win32.Clbd.by c:\\windows\\system32\\drivers\\clbdriver.sys - Rootkit.Win32.Clbd.bv (DrWEB: Trojan.NtRootKit.1232) c:\\windows\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ec (DrWEB: Win32.HLLW.Venic) c:\\windows\\system32\\msdvdr.sys - Backdoor.Win32.HacDef.h c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agx (DrWEB: Trojan.DownLoader.63553) c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.agd (DrWEB: Trojan.DownLoader.63655)