Помогите, пожалуйста, победить заразу!

**asokolov** · 16.09.2008, 10:27

Здравствуйте!
Подцепил какую-то гадость: антивирус NOD32 постоянно обнаруживает и удаляет некие последствия, но не причину проблемы. Появляется сообщение в панели задач 'Your computer is infected....'. Ранее уже было такое упоминание в одной из тем.
Выполнил правила. HiJack автоматом не сохранил лог, а показал его в блокноте, поэтому он в формате тхт. Надеюсь, это не проблема. Помогите, пожалуйста.

Большое спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 16.09.2008, 10:28

А где логи-то?

**asokolov** · 16.09.2008, 16:08

Прошу прощения за обращение без логов: пытался загрузить, но не вышло. Сорвали с места по работе, пришлось просто все бросить, к сожалению. Надеюсь, сейчас логи приложатся

Спасибо большое за понимание!

**Rene-gad** · 16.09.2008, 16:58

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyw41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc72.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winui33.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winrh88.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winjy03.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winhf38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winap26.sys','');
 QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\loader.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\7z.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphc7g2j0eaag.scr','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('C:\WINDOWS\system32\lphc7g2j0eaag.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('syslink.dll','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
 DeleteService('AppMgmtCOMSysApp');
 DeleteService('CiSvcTermService');
 DeleteService('CryptSvcNtmsSvc');
 DeleteService('FastUserSwitchingCompatibilitySchedule');
 DeleteService('FastUserSwitchingCompatibilitywscsvc');
 DeleteService('helpsvcPolicyAgent');
 DeleteService('lanmanserverTapiSrv');
 DeleteService('LVSrvLauncherRSVPstisvc');
 DeleteService('Messengerwinmgmt');
 DeleteService('Messengerwuauserv');
 DeleteService('NetlogonERSvc');
 DeleteService('Nlawuauserv');
 DeleteService('osemsupdate');
 DeleteService('PlugPlayHidServ');
 DeleteService('PmlRSVP');
 DeleteService('PmlRSVPSharedAccess');
 DeleteService('RasManSSDPSRV');
 DeleteService('RasManSSDPSRVSwPrv');
 DeleteService('RemoteAccessERSvc');
 DeleteService('RemoteRegistryNOD32krn');
 DeleteService('RSVPstisvc');
 DeleteService('SamSsSwPrv');
 DeleteService('SamSsSwPrvPlugPlayHidServ');
 DeleteService('SCardSvrLVSrvLauncherRSVPstisvc');
 DeleteService('ScheduleSysmonLog');
 DeleteService('TermServiceNetlogon');
 DeleteService('ThemesERSvc');
 DeleteService('TrkWksPlugPlay');
 DeleteService('winmgmtDcomLaunch');
 DeleteService('winmgmtDcomLaunchCryptSvc');
 DeleteService('WmiApSrvEventSystem');
 DeleteService('WmiNtmsSvc');
 DeleteService('symavc32');
 DeleteService('Winyw41');
 DeleteService('Winwc72');
 DeleteService('Winui33');
 DeleteService('Winrh88');
 DeleteService('Winjy03');
 DeleteService('Winhf38');
 DeleteService('Winap26');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('syslink.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\lphc7g2j0eaag.exe');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\blphc7g2j0eaag.scr');
 DeleteFile('C:\WINDOWS\system32\7z.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\loader.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winap26.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winhf38.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winjy03.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winrh88.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winui33.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwc72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyw41.sys');
BC_ImportAll;
ExecuteSysClean; 
 BC_DeleteSvc('AppMgmtCOMSysApp');
 BC_DeleteSvc('CiSvcTermService');
 BC_DeleteSvc('CryptSvcNtmsSvc');
 BC_DeleteSvc('FastUserSwitchingCompatibilitySchedule');
 BC_DeleteSvc('FastUserSwitchingCompatibilitywscsvc');
 BC_DeleteSvc('helpsvcPolicyAgent');
 BC_DeleteSvc('lanmanserverTapiSrv');
 BC_DeleteSvc('LVSrvLauncherRSVPstisvc');
 BC_DeleteSvc('Messengerwinmgmt');
 BC_DeleteSvc('Messengerwuauserv');
 BC_DeleteSvc('NetlogonERSvc');
 BC_DeleteSvc('Nlawuauserv');
 BC_DeleteSvc('osemsupdate');
 BC_DeleteSvc('PlugPlayHidServ');
 BC_DeleteSvc('PmlRSVP');
 BC_DeleteSvc('PmlRSVPSharedAccess');
 BC_DeleteSvc('RasManSSDPSRV');
 BC_DeleteSvc('RasManSSDPSRVSwPrv');
 BC_DeleteSvc('RemoteAccessERSvc');
 BC_DeleteSvc('RemoteRegistryNOD32krn');
 BC_DeleteSvc('RSVPstisvc');
 BC_DeleteSvc('SamSsSwPrv');
 BC_DeleteSvc('SamSsSwPrvPlugPlayHidServ');
 BC_DeleteSvc('SCardSvrLVSrvLauncherRSVPstisvc');
 BC_DeleteSvc('ScheduleSysmonLog');
 BC_DeleteSvc('TermServiceNetlogon');
 BC_DeleteSvc('ThemesERSvc');
 BC_DeleteSvc('TrkWksPlugPlay');
 BC_DeleteSvc('winmgmtDcomLaunch');
 BC_DeleteSvc('winmgmtDcomLaunchCryptSvc');
 BC_DeleteSvc('WmiApSrvEventSystem');
 BC_DeleteSvc('WmiNtmsSvc');
 BC_DeleteSvc('symavc32');
 BC_DeleteSvc('Winyw41');
 BC_DeleteSvc('Winwc72');
 BC_DeleteSvc('Winui33');
 BC_DeleteSvc('Winrh88');
 BC_DeleteSvc('Winjy03');
 BC_DeleteSvc('Winhf38');
 BC_DeleteSvc('Winap26');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.

**asokolov** · 16.09.2008, 22:03

Большое человеческое спасибо! Похоже, зараза побеждена

С уважением,
Андрей

**Rene-gad** · 16.09.2008, 22:10

-Пофиксите

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD26054-013B-43EE-979E-927AD007A7AF}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{B28264D2-E074-4C3E-A80F-C25DBA41789C}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD52451-D8CF-47FD-AFB9-274CE14D3ACD}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{E37372E8-E855-4EDE-B97A-F696E308B204}: NameServer = 85.255.114.71,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.71 85.255.112.60
O20 - Winlogon Notify: syslink - C:\WINDOWS\

- Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки.
- Сделайте повторные логи

Код:

virusinfo_syscheck.zip
hijackthis.log

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.

**asokolov** · 17.09.2008, 13:20

Все сделал. Карантин загрузил.
Спасибо!

**Rene-gad** · 17.09.2008, 15:09

Выполните проверку CureIt в безопасном режиме.

**asokolov** · 18.09.2008, 21:17

Проверил при помощи CureIt в безопасном режиме. Обнаружены только зараженные файлы в его собственном карантине. Удалены.

Спасибо за помощь!

С уважением,
Андрей

**Rene-gad** · 18.09.2008, 22:28

Логи после CureIt сделайте , плиз.

**asokolov** · 21.09.2008, 15:59

Забегался совсем

Логи после CureIt:

**Гриша** · 21.09.2008, 16:03

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\15.exe',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\296.exe',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\390.exe',' ');
QuarantineFile(' C:\WINDOWS\system32\drivers\937.exe',' ');
DeleteFile(' C:\WINDOWS\system32\drivers\937.exe');
DeleteFile('C:\WINDOWS\system32\drivers\390.exe ');
DeleteFile('C:\WINDOWS\system32\drivers\296.exe');
DeleteFile('C:\WINDOWS\system32\drivers\15.exe ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.

Повторите лог virusinfo_syscure...

**CyberHelper** · 22.02.2009, 07:59

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 42
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\braviax.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323)
2. c:\\windows\\winlogon.exe - Packed.Win32.Tibs.lc (DrWEB: Trojan.Proxy.3302)

Помогите, пожалуйста, победить заразу! (заявка № 30247)

Опции темы

Логи

Спасибо!

Итог лечения

Похожие темы

Помогите, пожалуйста, победить ggdrive32.exe

Помогите пожалуйста. 2 дня мучаюсь, сам победить не могу.

Вирус a-connect - не могу победить. Помогите, пожалуйста.

Помогите вылечить заразу, пожалуйста.

Не получается победить заразу на своем компе

Ваши права в разделе