Показано с 1 по 10 из 10.

сидит какая-то гадость (заявка № 24729)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71

    Thumbs up сидит какая-то гадость

    Уважаемые хелперы посмотрите плиз логи, сидит какая-то гадость, лезет в
    в интернет и антивирусом не удаляется.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью hijackthis строки:
    Код:
    O4 - HKLM\..\RunServices: [Windows USB Monitor] servupdate.exe
    O4 - HKLM\..\RunServices: [Internet Security Service] mysqlwin32.exe
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     DelBHO('{6584C510-924B-486A-A1A0-E380DE08C2DB}');
     DelBHO('{1E988335-1620-4261-80BC-CB2C150C32C4}');
     QuarantineFile('awtrQGaw.dll','');
     QuarantineFile('C:\WINDOWS\rundll32.exe','');
     QuarantineFile('C:\WINDOWS\System32\servupdate.exe','');
     QuarantineFile('C:\WINDOWS\System32\mysqlwin32.exe','');
     QuarantineFile('C:\WINDOWS\System32\msmsgs.exe','');
     QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\ser2pl.sys','');
     QuarantineFile('C:\WINDOWS\System32\geBqQGvU.dll','');
     QuarantineFile('C:\WINDOWS\System32\awtrQGaw.dll','');
     DeleteFile('C:\WINDOWS\System32\awtrQGaw.dll');
     BC_DeleteFile('C:\WINDOWS\System32\awtrQGaw.dll');
     DeleteFile('C:\WINDOWS\System32\geBqQGvU.dll');
     BC_DeleteFile('C:\WINDOWS\System32\geBqQGvU.dll');
     DeleteFile('AccessSharing.sys');
     DeleteFile('C:\WINDOWS\System32\msmsgs.exe');
     BC_DeleteFile('C:\WINDOWS\System32\msmsgs.exe');
     DeleteFile('C:\WINDOWS\System32\mysqlwin32.exe');
     BC_DeleteFile('C:\WINDOWS\System32\mysqlwin32.exe');
     DeleteFile('C:\WINDOWS\System32\servupdate.exe');
     BC_DeleteFile('C:\WINDOWS\System32\servupdate.exe');
     DeleteFile('C:\WINDOWS\rundll32.exe');
     BC_DeleteFile('C:\WINDOWS\rundll32.exe');
     DeleteFile('awtrQGaw.dll');
     BC_DeleteFile('awtrQGaw.dll');
     BC_DeleteSvc('AccessSharing');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    executerepair(1);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24729 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
    В дополнение: вот с этим:
    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    лечиться будете постоянно. Крайне рекомендуется поставить SP3 + все последующие дополнения. Имейте в виду, что, после установки SP3, вполне возможно, потребуется повторная активация Windows.

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Спасибо.
    Указанные строки пофиксил.
    Скрипт выполнил.
    Карантин отправил.
    Новые логи вложил.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    То, что пришло:
    awtrQGaw.dll, geBqQGvU.dll - Trojan.Win32.Monder.gen
    mdm.exe - Trojan.Win32.Buzus.fqj
    msmsgs.exe, rundll32.exe - Backdoor.Win32.IRCBot.cxs
    mysqlwin32.exe - Backdoor.Win32.Rbot.bng
    servupdate.exe - Backdoor.Win32.Rbot.jtf
    (по классификации лаборатории Касперского)
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью hijackthis строки:
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {644BAE04-4C27-474C-90F2-A5C2E9026451} - C:\WINDOWS\System32\geBqQGvU.dll (file missing)
    O2 - BHO: (no name) - {6584C510-924B-486A-A1A0-E380DE08C2DB} - C:\WINDOWS\System32\awtrQGaw.dll (file missing)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O4 - HKLM\..\Run: [18864874] rundll32.exe "C:\WINDOWS\System32\mjmgjsuy.dll",b
    O4 - HKLM\..\Run: [BM1bb57be8] Rundll32.exe "C:\WINDOWS\System32\dfpdkkro.dll",s
    O20 - Winlogon Notify: awtrQGaw - C:\WINDOWS\
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{6584C510-924B-486A-A1A0-E380DE08C2DB}');
     DelBHO('{644BAE04-4C27-474C-90F2-A5C2E9026451}');
     QuarantineFile('mysqlwin32.exe','');
     QuarantineFile('C:\WINDOWS\System32\mjmgjsuy.dll','');
     QuarantineFile('C:\WINDOWS\System32\dfpdkkro.dll','');
     DeleteFile('C:\WINDOWS\System32\dfpdkkro.dll');
     BC_DeleteFile('C:\WINDOWS\System32\dfpdkkro.dll');
     DeleteFile('C:\WINDOWS\System32\mjmgjsuy.dll');
     BC_DeleteFile('C:\WINDOWS\System32\mjmgjsuy.dll');
     DeleteFile('mysqlwin32.exe');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24729 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Спасибо огромное.
    Строки пофиксил.
    Карантин отправил.
    Скрипт выполнил.
    Новые логи...
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Да... Написать - написал, а удалить забыл Выполните еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\mdm.exe');
     BC_DeleteFile('C:\WINDOWS\System32\mdm.exe');
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, логи еще раз, начиная с п. 10 правил, повторите, пожалуйста.

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Спасибо...
    Скрипт выполнил.
    Новые логи...
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Я больше ничего плохого не вижу. Какие-нибудь симптомы заражения остались?
    В дополнение: во-первых, был подменен как минимум один системный файл (оригинальный mdm.exe). Крайне рекомендуется провести проверку системных файлов ( запускается командой sfc /scannow или sfc /scanonce (во втором случае, проверка будет произведена при перезагрузке)). Проверка, почти наверняка, потребует оригинальный установочный диск Windows.
    Во-вторых,ваша главная проблема - XP SP1. На такой ОС вы будете заражаться регулярно. Крайне рекомендуется поставить SP3 + последующие обновления. Вероятнее всего, после установки сервис-пака, потребуется повторная активация Windows.

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Да нет, теперь , вроде, все нормально.
    Проверку системных файлов обязательно проведу и поставлю SP3.
    А то развелся ну прямо "зверинец"...
    Спасибо огромное за помощь...и за то, что Вы (и хелперы и ресурс) есть...

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 34
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\rundll32.exe - Backdoor.Win32.IRCBot.cxs (DrWEB: BackDoor.IRC.Sdbot.3663)
      2. c:\\windows\\system32\\awtrqgaw.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.12)
      3. c:\\windows\\system32\\gebqqgvu.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.36
      4. c:\\windows\\system32\\mdm.exe - Trojan.Win32.Buzus.fqj (DrWEB: Trojan.Inject.3464)
      5. c:\\windows\\system32\\mjmgjsuy.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.12)
      6. c:\\windows\\system32\\msmsgs.exe - Backdoor.Win32.IRCBot.cxs (DrWEB: BackDoor.IRC.Sdbot.3663)
      7. c:\\windows\\system32\\mysqlwin32.exe - Backdoor.Win32.Rbot.bng (DrWEB: BackDoor.IRC.Sdbot.3664)
      8. c:\\windows\\system32\\servupdate.exe - Backdoor.Win32.Rbot.jtf


  • Уважаемый(ая) VladMS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Какая то гадость сидит.
      От AndreyET в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.12.2009, 18:52
    2. В системе сидит гадость
      От Ikarek в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.10.2009, 09:18
    3. сидит какая гадость
      От sergb в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:21
    4. Какая-то гадость
      От berenika в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:03
    5. Какая-то гадость
      От joniscoolkz в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.09.2007, 10:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00690 seconds with 20 queries