Уважаемые хелперы посмотрите плиз логи, сидит какая-то гадость, лезет в
в интернет и антивирусом не удаляется.
Уважаемые хелперы посмотрите плиз логи, сидит какая-то гадость, лезет в
в интернет и антивирусом не удаляется.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\RunServices: [Windows USB Monitor] servupdate.exe O4 - HKLM\..\RunServices: [Internet Security Service] mysqlwin32.exe O4 - HKUS\S-1-5-18\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe (User 'SYSTEM')Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24729 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DelBHO('{6584C510-924B-486A-A1A0-E380DE08C2DB}'); DelBHO('{1E988335-1620-4261-80BC-CB2C150C32C4}'); QuarantineFile('awtrQGaw.dll',''); QuarantineFile('C:\WINDOWS\rundll32.exe',''); QuarantineFile('C:\WINDOWS\System32\servupdate.exe',''); QuarantineFile('C:\WINDOWS\System32\mysqlwin32.exe',''); QuarantineFile('C:\WINDOWS\System32\msmsgs.exe',''); QuarantineFile('C:\WINDOWS\System32\mdm.exe',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\ser2pl.sys',''); QuarantineFile('C:\WINDOWS\System32\geBqQGvU.dll',''); QuarantineFile('C:\WINDOWS\System32\awtrQGaw.dll',''); DeleteFile('C:\WINDOWS\System32\awtrQGaw.dll'); BC_DeleteFile('C:\WINDOWS\System32\awtrQGaw.dll'); DeleteFile('C:\WINDOWS\System32\geBqQGvU.dll'); BC_DeleteFile('C:\WINDOWS\System32\geBqQGvU.dll'); DeleteFile('AccessSharing.sys'); DeleteFile('C:\WINDOWS\System32\msmsgs.exe'); BC_DeleteFile('C:\WINDOWS\System32\msmsgs.exe'); DeleteFile('C:\WINDOWS\System32\mysqlwin32.exe'); BC_DeleteFile('C:\WINDOWS\System32\mysqlwin32.exe'); DeleteFile('C:\WINDOWS\System32\servupdate.exe'); BC_DeleteFile('C:\WINDOWS\System32\servupdate.exe'); DeleteFile('C:\WINDOWS\rundll32.exe'); BC_DeleteFile('C:\WINDOWS\rundll32.exe'); DeleteFile('awtrQGaw.dll'); BC_DeleteFile('awtrQGaw.dll'); BC_DeleteSvc('AccessSharing'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; executerepair(1); executerepair(6); executerepair(8); executerepair(9); RebootWindows(true); end.
В дополнение: вот с этим:лечиться будете постоянно. Крайне рекомендуется поставить SP3 + все последующие дополнения. Имейте в виду, что, после установки SP3, вполне возможно, потребуется повторная активация Windows.Код:Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Спасибо.
Указанные строки пофиксил.
Скрипт выполнил.
Карантин отправил.
Новые логи вложил.
То, что пришло:
awtrQGaw.dll, geBqQGvU.dll - Trojan.Win32.Monder.gen
mdm.exe - Trojan.Win32.Buzus.fqj
msmsgs.exe, rundll32.exe - Backdoor.Win32.IRCBot.cxs
mysqlwin32.exe - Backdoor.Win32.Rbot.bng
servupdate.exe - Backdoor.Win32.Rbot.jtf
(по классификации лаборатории Касперского)
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {644BAE04-4C27-474C-90F2-A5C2E9026451} - C:\WINDOWS\System32\geBqQGvU.dll (file missing) O2 - BHO: (no name) - {6584C510-924B-486A-A1A0-E380DE08C2DB} - C:\WINDOWS\System32\awtrQGaw.dll (file missing) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O4 - HKLM\..\Run: [18864874] rundll32.exe "C:\WINDOWS\System32\mjmgjsuy.dll",b O4 - HKLM\..\Run: [BM1bb57be8] Rundll32.exe "C:\WINDOWS\System32\dfpdkkro.dll",s O20 - Winlogon Notify: awtrQGaw - C:\WINDOWS\Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24729 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.Код:begin clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{6584C510-924B-486A-A1A0-E380DE08C2DB}'); DelBHO('{644BAE04-4C27-474C-90F2-A5C2E9026451}'); QuarantineFile('mysqlwin32.exe',''); QuarantineFile('C:\WINDOWS\System32\mjmgjsuy.dll',''); QuarantineFile('C:\WINDOWS\System32\dfpdkkro.dll',''); DeleteFile('C:\WINDOWS\System32\dfpdkkro.dll'); BC_DeleteFile('C:\WINDOWS\System32\dfpdkkro.dll'); DeleteFile('C:\WINDOWS\System32\mjmgjsuy.dll'); BC_DeleteFile('C:\WINDOWS\System32\mjmgjsuy.dll'); DeleteFile('mysqlwin32.exe'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо огромное.
Строки пофиксил.
Карантин отправил.
Скрипт выполнил.
Новые логи...
Да... Написать - написал, а удалить забыл Выполните еще один скрипт:После перезагрузки, логи еще раз, начиная с п. 10 правил, повторите, пожалуйста.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\mdm.exe'); BC_DeleteFile('C:\WINDOWS\System32\mdm.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо...
Скрипт выполнил.
Новые логи...
Я больше ничего плохого не вижу. Какие-нибудь симптомы заражения остались?
В дополнение: во-первых, был подменен как минимум один системный файл (оригинальный mdm.exe). Крайне рекомендуется провести проверку системных файлов ( запускается командой sfc /scannow или sfc /scanonce (во втором случае, проверка будет произведена при перезагрузке)). Проверка, почти наверняка, потребует оригинальный установочный диск Windows.
Во-вторых,ваша главная проблема - XP SP1. На такой ОС вы будете заражаться регулярно. Крайне рекомендуется поставить SP3 + последующие обновления. Вероятнее всего, после установки сервис-пака, потребуется повторная активация Windows.
Да нет, теперь , вроде, все нормально.
Проверку системных файлов обязательно проведу и поставлю SP3.
А то развелся ну прямо "зверинец"...
Спасибо огромное за помощь...и за то, что Вы (и хелперы и ресурс) есть...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\rundll32.exe - Backdoor.Win32.IRCBot.cxs (DrWEB: BackDoor.IRC.Sdbot.3663)
- c:\\windows\\system32\\awtrqgaw.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.12)
- c:\\windows\\system32\\gebqqgvu.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.36
- c:\\windows\\system32\\mdm.exe - Trojan.Win32.Buzus.fqj (DrWEB: Trojan.Inject.3464)
- c:\\windows\\system32\\mjmgjsuy.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.12)
- c:\\windows\\system32\\msmsgs.exe - Backdoor.Win32.IRCBot.cxs (DrWEB: BackDoor.IRC.Sdbot.3663)
- c:\\windows\\system32\\mysqlwin32.exe - Backdoor.Win32.Rbot.bng (DrWEB: BackDoor.IRC.Sdbot.3664)
- c:\\windows\\system32\\servupdate.exe - Backdoor.Win32.Rbot.jtf
Уважаемый(ая) VladMS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.