Показано с 1 по 14 из 14.

В автозагрузке $F$L$D$.ACL и $F$L$D$.IDX (заявка № 29401)

  1. #1
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59

    Thumbs up В автозагрузке $F$L$D$.ACL и $F$L$D$.IDX

    никак не удалить. (Смотрю в msconfig). ISP ругается, что с этого IP идёт какой-то бешеный траффик по разным портам (начально - по 25)
    Cureit'ом почистил, не помогает.
    Последний раз редактировалось lop; 02.09.2008 в 13:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.bak
    C:\WINDOWS\system32\WinCtrl32.dl_
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{00D13CE9-1879-41bd-B8A3-EA3CB1BD01BC}');
     DelBHO('{10A75906-D55D-42BF-BB79-9EEEB31CA08C}');
     DelBHO('{3878A544-E465-4aad-AF9D-B2A680C2F7EC}');
     DelBHO('{55DB983C-BDBF-426f-86F0-187B02DDA39B}');
     DelBHO('{92335157-984B-4692-8405-530335CA9F27}');
     DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
     QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
     QuarantineFile('C:\WINDOWS\system32\mlicaccl.dll','');
     QuarantineFile('C:\WINDOWS\system32\yrureifh.dll','');
     QuarantineFile('C:\WINDOWS\system32\xvidcor.dll','');
     QuarantineFile('C:\WINDOWS\system32\helper1.dll','');
     QuarantineFile('mswshl.dll','');
     QuarantineFile('C:\WINDOWS\system32\riyqh73.dll','');
     QuarantineFile('C:\WINDOWS\system32\ole3lsas.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.IDX','');
     QuarantineFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.ACL','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winad34.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winck00.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wincn37.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windj02.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windm13.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windo12.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windq40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winev54.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfe84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winik67.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winji55.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winle01.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winnf51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winod12.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb26.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winxt56.sys','');
     QuarantineFile('C:\WINDOWS\system32\k53lock.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteService('Winxt56');
     DeleteService('Wintb26');
     DeleteService('Winsm34');
     DeleteService('Winod12');
     DeleteService('Winnw18');
     DeleteService('Winnf51');
     DeleteService('Winle01');
     DeleteService('Winji55');
     DeleteService('Winik67');
     DeleteService('Winfe84');
     DeleteService('Winev54');
     DeleteService('Windq40');
     DeleteService('Windo12');
     DeleteService('Windm13');
     DeleteService('Windj02');
     DeleteService('Wincn37');
     DeleteService('Winck00');
     DeleteService('Winad34');
     DeleteService('k53lock');
     DeleteService('WmdmPmSNTrkWks');
     DeleteService('WmdmPmSNPlugPlay');
     DeleteService('upnphostRemoteAccess');
     DeleteService('stisvcBrowser');
     DeleteService('RasAutoDnscache');
     DeleteService('NlaCiSvc');
     DeleteService('MSIServerSpooler');
     DeleteService('ImapiServiceSSDPSRV');
     DeleteService('EventlogNetlogon');
     DeleteService('dmadminWmiMSIServer');
     DeleteService('dmadminWmi');
     DeleteService('dmadminSwPrv');
     DeleteService('COMSysAppSamSs');
     DeleteService('COMSysAppERSvc');
     DeleteService('ClipSrvNla');
     DeleteService('AudioSrvImapiServiceSSDPSRV');
     DeleteService('ALGWebClient');
     DeleteService('AlerterNetman');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\k53lock.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxt56.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintb26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsm34.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winod12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnw18.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnf51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winle01.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winji55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winik67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfe84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winev54.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windq40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windo12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windm13.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windj02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincn37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winck00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winad34.sys');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
     DeleteFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.ACL');
     DeleteFile('C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.IDX');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ole3lsas.dll');
     DeleteFile('C:\WINDOWS\system32\riyqh73.dll');
     DeleteFile('mswshl.dll');
     DeleteFile('C:\WINDOWS\system32\helper1.dll');
     DeleteFile('C:\WINDOWS\system32\xvidcor.dll');
     DeleteFile('C:\WINDOWS\system32\yrureifh.dll');
     DeleteFile('C:\WINDOWS\system32\mlicaccl.dll');
     DeleteFile('C:\WINDOWS\system32\mswapi.dll');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('Winxt56');
     BC_DeleteSvc('Wintb26');
     BC_DeleteSvc('Winsm34');
     BC_DeleteSvc('Winod12');
     BC_DeleteSvc('Winnw18');
     BC_DeleteSvc('Winnf51');
     BC_DeleteSvc('Winle01');
     BC_DeleteSvc('Winji55');
     BC_DeleteSvc('Winik67');
     BC_DeleteSvc('Winfe84');
     BC_DeleteSvc('Winev54');
     BC_DeleteSvc('Windq40');
     BC_DeleteSvc('Windo12');
     BC_DeleteSvc('Windm13');
     BC_DeleteSvc('Windj02');
     BC_DeleteSvc('Wincn37');
     BC_DeleteSvc('Winck00');
     BC_DeleteSvc('Winad34');
     BC_DeleteSvc('k53lock');
     BC_DeleteSvc('WmdmPmSNTrkWks');
     BC_DeleteSvc('WmdmPmSNPlugPlay');
     BC_DeleteSvc('upnphostRemoteAccess');
     BC_DeleteSvc('stisvcBrowser');
     BC_DeleteSvc('RasAutoDnscache');
     BC_DeleteSvc('NlaCiSvc');
     BC_DeleteSvc('MSIServerSpooler');
     BC_DeleteSvc('ImapiServiceSSDPSRV');
     BC_DeleteSvc('EventlogNetlogon');
     BC_DeleteSvc('dmadminWmiMSIServer');
     BC_DeleteSvc('dmadminWmi');
     BC_DeleteSvc('dmadminSwPrv');
     BC_DeleteSvc('COMSysAppSamSs');
     BC_DeleteSvc('COMSysAppERSvc');
     BC_DeleteSvc('ClipSrvNla');
     BC_DeleteSvc('AudioSrvImapiServiceSSDPSRV');
     BC_DeleteSvc('ALGWebClient');
     BC_DeleteSvc('AlerterNetman');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59
    нашёл только 2 из 3:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.dl_
    Скопировал их в другое место, а из system32 удалил (с помощью IceSword)

    Не могу поместить их в карантин: делаю всё, как в приложении 2 написано, но они к списку файлов карантина не добавляются. Среди файлов карантина есть C:\WINDOWS\system32\WinCtrl32.dll (2 раза).
    Пока отсылаю только новые логи и те 2, что AVZ видит в списке карантина.

    поиском нашёл в папке C:\WINDOWS\pss такие файлы:
    $F$L$D$.ACLCommon Startup
    $F$L$D$.ACLStartup
    $F$L$D$.IDXCommon Startup
    $F$L$D$.IDXStartup

    Антивирь на них не реагирует. Не знаете ли, что это за папка pss такая с подозрительными именами файлов? Может её снести лучше?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 02.09.2008 в 12:02.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\Winsn80.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O4 - .DEFAULT User Startup: $F$L$D$.IDX (User 'Default user')
    O4 - .DEFAULT User Startup: $F$L$D$.ACL (User 'Default user')
    O20 - Winlogon Notify: ntlogon - C:\WINDOWS\
    O20 - Winlogon Notify: ole3lsas - C:\WINDOWS\
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O20 - Winlogon Notify: reset6 - C:\WINDOWS\
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteService('Winsn80');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsn80.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsn80.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('Winsn80'');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59
    C:\WINDOWS\System32\Drivers\Winsn80.sys не нашёл.

    строчки с 04 не фиксятся.
    Логи высылаю.Упс, не получается логи выслать, чуть позже попробую.

    Добавлено через 24 минуты

    лежат здесь, через управление вложениями не получается:
    http://ifolder.ru/7951933
    Или подскажите, как их иначе заслать.
    Последний раз редактировалось lop; 02.09.2008 в 14:02. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,
    Файлы

    Код:
    C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.IDX
    C:\Documents and Settings\And\Start Menu\Programs\Startup\$F$L$D$.ACL
    поищите и пришлите по приложению 2 и 3 правил.
    У Вас Аутпост стоит или стоял?


    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteService('dmadminSwPrvSENS')
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('dmadminSwPrvSENS');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи начиная от п.10 правил.
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59
    $F$L$D$.IDX, $F$L$D$.ACL (скрытый, только чтение) находились почти в каждой папке компьютера. Я их удалил.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lop Посмотреть сообщение
    $F$L$D$.IDX, $F$L$D$.ACL (скрытый, только чтение) находились почти в каждой папке компьютера. Я их удалил.
    А пофиксить не получается? И насчет Аутпоста Вы на мой вопрос не ответили.

  10. #9
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59

    Извините.

    Да, пофиксил, то есть запустил HJT, scan, отметил галкой и нажал Fix Checkied. Повторно не сканил.

    OutPost не стоит, хотя раньше, возможно, и ставился, я тут не очень давно.

    Скрипты выполнил, карантин загрузил.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Запустите Хайджек, посмотрите - появятся ли записи.

  12. #11
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59

    F2 - REG:system.ini: UserInit=userinit.exe

    - такой записи нет. Всё ОК?

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Если записи не появились,все ок

  14. #13
    Junior Member Репутация
    Регистрация
    08.04.2008
    Сообщений
    45
    Вес репутации
    59
    Спасибо, особенно Rene-gadу!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) lop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. c0zh0p5yejo.exe-в автозагрузке
      От svetikk в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.05.2011, 07:18
    2. igfxtray.exe в автозагрузке
      От nolights в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 29.11.2010, 19:31
    3. вирусы в автозагрузке
      От lebron в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 28.12.2009, 00:37
    4. в автозагрузке siszyd32.exe
      От JIN_ok в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.12.2009, 00:00
    5. msn.exe в автозагрузке
      От Don Victor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.12.2007, 23:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01330 seconds with 18 queries