Junior Member
Вес репутации
58
Рассадник. Заставка Warning...,Не открывается диск С, перезагрузка..
Помогите пожалуйста, на нровой работе целый рассадник вирусов. Вот этот скрипт "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" выполнить не смог, так как комп сразу перегружается.
Последний раз редактировалось KaZantipA; 10.07.2008 в 12:35 .
Причина: логи добавляю
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделайте логи хотя бы начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
58
не могу добавить пишет (
KaZantipA, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Добавлено через 1 минуту
может добавить их как Прислать запрошенный карантин ?
Последний раз редактировалось KaZantipA; 10.07.2008 в 12:39 .
Причина: Добавлено
Junior Member
Вес репутации
58
Вложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('c:\windows\system32\mstmdm.dll','');
QuarantineFile('c:\documents and settings\all users\documents\settings\arm32.dll','');
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcleaj0e9da.scr','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winin40.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Twwx80.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo37.sys','');
QuarantineFile('C:\WINDOWS\winhlep.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\lphcleaj0e9da.exe','');
QuarantineFile('C:\WINDOWS\system32\ffqsnljc.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\ffqsnljc.dll');
DeleteFile('C:\WINDOWS\system32\lphcleaj0e9da.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\winhlep.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Ejo37.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Twwx80.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winin40.sys');
DeleteFile('C:\WINDOWS\system32\blphcleaj0e9da.scr');
DeleteFile('c:\documents and settings\all users\documents\settings\arm32.dll');
DeleteFile('c:\windows\system32\mstmdm.dll');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winhm15');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ins50');
BC_DeleteSvc('bgL26');
BC_DeleteSvc('Winin40');
BC_DeleteSvc('Ejo37');
BC_DeleteSvc('WZCSVCsrservice');
BC_DeleteSvc('WZCSVCSCardSvr');
BC_DeleteSvc('WZCSVCMSIServerBrowser');
BC_DeleteSvc('wscsvcVSS');
BC_DeleteSvc('WmdmPmSNNlaWebClient');
BC_DeleteSvc('winmgmtCiSvcMDM');
BC_DeleteSvc('winmgmtCiSvc');
BC_DeleteSvc('WebClientTapiSrv');
BC_DeleteSvc('W32TimeNla');
BC_DeleteSvc('UPSBITS');
BC_DeleteSvc('TermServiceEventlogNtmsSvc');
BC_DeleteSvc('TermServiceEventlog');
BC_DeleteSvc('TapiSrvFastUserSwitchingCompatibility');
BC_DeleteSvc('SwPrvWmi');
BC_DeleteSvc('SSDPSRVWZCSVCTermServiceEventlog');
BC_DeleteSvc('SSDPSRVWZCSVC');
BC_DeleteSvc('ShellHWDetectionTrkWks');
BC_DeleteSvc('SENSDhcpW32TimeNla');
BC_DeleteSvc('SENSDhcp');
BC_DeleteSvc('Schedulewuauserv');
BC_DeleteSvc('PlugPlayRDSessMgr');
BC_DeleteSvc('NlaWebClientTrkWks');
BC_DeleteSvc('NlaWebClient');
BC_DeleteSvc('NetmanMessenger');
BC_DeleteSvc('MSIServerBrowser');
BC_DeleteSvc('MDMShellHWDetection');
BC_DeleteSvc('lanmanworkstationSamSsShellHWDetection');
BC_DeleteSvc('lanmanworkstationSamSs');
BC_DeleteSvc('IDriverT');
BC_DeleteSvc('EventSystemlanmanworkstation');
BC_DeleteSvc('DhcpNetDDE');
BC_DeleteSvc('Dhcpmnmsrvc');
BC_DeleteSvc('DhcpBrowserAppMgmtShellHWDetection');
BC_DeleteSvc('CiSvcShellHWDetection');
BC_DeleteSvc('CiSvcNtmsSvc');
BC_DeleteSvc('CiSvcLmHosts');
BC_DeleteSvc('BrowserMDM');
BC_DeleteSvc('BrowserAppMgmtShellHWDetection');
BC_DeleteSvc('AppMgmtShellHWDetection');
BC_DeleteSvc('AlerterWmiApSrvNtmsSvc');
BC_DeleteSvc('AlerterWmiApSrv');
BC_Activate;
ExecuteRepair(5);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=26229 ).
Сделайте новые логи, желательно все три.
I am not young enough to know everything...
Junior Member
Вес репутации
58
Junior Member
Вес репутации
58
вот они, припрезагрузки заставка с той надписью все равно видна
NHSRVW32 - это менеджер лицензий для 1с
Вложения
Тут пока еще кое-что другое осталось.
Сначала эту гадость добьем.
Добавлено через 2 минуты
Скачиваем Icesword. В нем через file находим и удаляем:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winin40.sys
Затем строчку с C:\WINDOWS\system32\WinCtrl32.dll
надо профиксить в HijackThis.
После этого будем выполнять скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ffqsnljc.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin40.sys','');
DeleteService('Winin40');
DeleteService('Ejo37');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winin40.sys','');
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winin40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ejo37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin40.sys');
DeleteFile('ffqsnljc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Ну, уже а после этого загрузить карантин и сделать новые логи.
Последний раз редактировалось PavelA; 11.07.2008 в 14:17 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
только я не могу комп из сети убрать, так как инет пропадет
в сети 3 компа
Добавлено через 2 минуты
а можно ссылку на Iceword
Последний раз редактировалось KaZantipA; 11.07.2008 в 14:18 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
58
карантин закинул, вот два лога
Вложения
Профиксить:
Код:
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: ffqsnljc - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O21 - SSODL: UpdateCheck - {FE26A053-038F-4538-9EAC-3CFB271CDB88} - (no file)
Плюс еще кучу сервисов надо грохнуть.
Добавлено через 4 минуты
Вот этого через IceSword удалить:
C:\WINDOWS\System32\Drivers\Ejo37.sys
Далее скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Ejo37');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ejo37.sys','');
BC_DeleteSvc('WZCSVCsrserviceALG');
BC_DeleteSvc('WebClientMSDTCWmdmPmSNNlaWebClient');
BC_DeleteSvc('upnphostProtectedStorage');
BC_DeleteSvc('RemoteAccessRasAuto');
BC_DeleteSvc('RasAutoERSvc');
BC_DeleteSvc('NetDDEEventSystem');
BC_DeleteSvc('MSDTCWmdmPmSNNlaWebClient');
BC_DeleteSvc('DcomLaunchTermServiceEventlogNtmsSvc');
BC_DeleteSvc('CiSvcPolicyAgent');
BC_DeleteSvc('CiSvcAlerter');
DeleteFile('C:\WINDOWS\system32\Drivers\Ejo37.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
Потом сделать новые логи.
Последний раз редактировалось PavelA; 11.07.2008 в 15:30 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 23 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\all users\\documents\\settings\\arm32.dll - Trojan-Proxy.Win32.Xorpix.bs (DrWEB: BackDoor.Bech) c:\\documents and settings\\glavbuh\\win.exe - Trojan-Downloader.Win32.Mutant.ob (DrWEB: Trojan.DownLoader.59056) c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: Trojan.BitAcc. c:\\program files\\virtualnetwork\\virtualnetwork.dll - not-a-virus:AdTool.Win32.VirtualNetwork.a (DrWEB: Trojan.AdVirtualNetwork.2) c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.qq (DrWEB: Trojan.Packed.573) c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.sxq (DrWEB: Trojan.PWS.Wsgame.3434) c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.sxq (DrWEB: Trojan.PWS.Wsgame.3434) c:\\windows\\system32\\drivers\\twwx80.sys - Rootkit.Win32.Agent.aag (DrWEB: Trojan.Spambot.2830) c:\\windows\\system32\\ffqsnljc.dll - Trojan.Win32.Pakes.czu (DrWEB: Trojan.Inject.3435) c:\\windows\\system32\\lphcleaj0e9da.exe - Trojan.Win32.FraudPack.abr (DrWEB: Trojan.Fakealert.950) c:\\windows\\system32\\mstmdm.dll - Trojan.Win32.Agent.bve (DrWEB: Win32.HLLW.Autoruner.280) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.akj (DrWEB: Trojan.Rntm.7) c:\\windows\\winhlep.exe - Backdoor.Win32.Hupigon.dsk (DrWEB: BackDoor.Netsata)