Блокируется диспетчер задач, редактор реестра и т.д.
надпись VIRUS ALERT! рядом с часами.
Блокируется диспетчер задач, редактор реестра и т.д.
надпись VIRUS ALERT! рядом с часами.
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\Drivers\HBKernel32.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{B629FF4F-ACDB-5C90-A098-FACB3456A26B}'); DelBHO('{AA59145F-315D-BC23-AC1F-145DF81A34AA}'); DelBHO('{81FF9400-31B5-4786-9EA9-DD8425658399}'); DelBHO('{80AF1289-F140-A140-D012-C1458759FC08}'); DelBHO('{7FD45A54-9875-698F-E56E-65102358FDF7}'); DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}'); DelBHO('{7A041F13-A111-12A3-B0CF-F99818AA68A7}'); DelBHO('{7319A1F1-9410-9654-3201-345FFA349137}'); DelBHO('{6C648541-1025-9650-9057-6541258720C6}'); DelBHO('{6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6}'); DelBHO('{55694105-5108-9405-3695-954187462155}'); DelBHO('{528DF602-9541-A985-210A-984A698C6F25}'); DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}'); DelBHO('{4A698102-5904-AFD0-20DF-CD1A65829CA4}'); DelBHO('{3D698451-2015-6358-9871-2015987452D3}'); DelBHO('{38093456-9012-4568-9076-908765467183}'); DelBHO('{37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73}'); DelBHO('{2A698452-C5D8-C584-C256-C264C987C5A2}'); DelBHO('{20618412-C528-C784-C056-C164D1F7C502}'); DelBHO('{1A698452-C5D8-C584-C256-C264C987C5A1}'); QuarantineFile('System.exe',''); QuarantineFile('C:\WINDOWS\system32\zywmgime.dll',''); QuarantineFile('C:\WINDOWS\system32\zywlcime.dll',''); QuarantineFile('C:\WINDOWS\system32\zxmsdwin.dll',''); QuarantineFile('C:\WINDOWS\system32\zptlcsys.dll',''); QuarantineFile('C:\WINDOWS\system32\yxcschlp.dll',''); QuarantineFile('C:\WINDOWS\system32\ypdjgbmp.dll',''); QuarantineFile('C:\WINDOWS\system32\tkimoesa.dll',''); QuarantineFile('C:\WINDOWS\system32\tisqctyu.dll',''); QuarantineFile('C:\WINDOWS\system32\ozfyebyt.dll',''); QuarantineFile('C:\WINDOWS\system32\mnmhgsrv.dll',''); QuarantineFile('C:\WINDOWS\system32\mndshsrv.dll',''); QuarantineFile('C:\WINDOWS\system32\ijdyapaw.dll',''); QuarantineFile('C:\WINDOWS\system32\ietzcpaq.dll',''); QuarantineFile('C:\WINDOWS\system32\hdf453d.dll',''); QuarantineFile('C:\WINDOWS\system32\goqkzdhx.dll',''); QuarantineFile('4F34C688.dll',''); DeleteService('d4f876'); QuarantineFile('C:\WINDOWS\system32\d4f876.sys',''); DeleteService('HBKernel32'); QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys',''); QuarantineFile('C:\WINDOWS\rosqxvmn.dll',''); QuarantineFile('C:\WINDOWS\qrbgltos.dll',''); QuarantineFile('C:\WINDOWS\ngwstxfd.dll',''); QuarantineFile('C:\WINDOWS\grfxbanonlm.dll',''); DeleteFile('C:\WINDOWS\grfxbanonlm.dll'); DeleteFile('C:\WINDOWS\ngwstxfd.dll'); DeleteFile('C:\WINDOWS\qrbgltos.dll'); DeleteFile('C:\WINDOWS\rosqxvmn.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys'); DeleteFile('C:\WINDOWS\system32\d4f876.sys'); DeleteFile('4F34C688.dll'); DeleteFile('C:\WINDOWS\sysocmgr.dll'); DeleteFile('C:\WINDOWS\system32\apsggjba.dll'); DeleteFile('C:\WINDOWS\system32\apzhctde.dll'); DeleteFile('C:\WINDOWS\system32\comuidsg.dll'); DeleteFile('C:\WINDOWS\system32\detxbiua.dll'); DeleteFile('C:\WINDOWS\system32\detxciua.dll'); DeleteFile('C:\WINDOWS\system32\detxdiua.dll'); DeleteFile('C:\WINDOWS\system32\fd233ds4f3.dll'); DeleteFile('C:\WINDOWS\system32\goqkzdhx.dll'); DeleteFile('C:\WINDOWS\system32\hdf453d.dll'); DeleteFile('C:\WINDOWS\system32\ietzcpaq.dll'); DeleteFile('C:\WINDOWS\system32\ijdyapaw.dll'); DeleteFile('C:\WINDOWS\system32\mndshsrv.dll'); DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll'); DeleteFile('C:\WINDOWS\system32\ozfyebyt.dll'); DeleteFile('C:\WINDOWS\system32\tisqctyu.dll'); DeleteFile('C:\WINDOWS\system32\tkimoesa.dll'); DeleteFile('C:\WINDOWS\system32\ypdjgbmp.dll'); DeleteFile('C:\WINDOWS\system32\yxcschlp.dll'); DeleteFile('C:\WINDOWS\system32\zptlcsys.dll'); DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll'); DeleteFile('C:\WINDOWS\system32\zywlcime.dll'); DeleteFile('C:\WINDOWS\system32\zywmgime.dll'); DeleteFile('HBBO.dll'); DeleteFile('HBCHIBI.dll'); DeleteFile('HBFY.dll'); DeleteFile('HBQQFFO.dll'); DeleteFile('HBZHUXIAN.dll'); DeleteFile('HBmhly.dll'); DeleteFile('System.exe'); DeleteFile('C:\WINDOWS\lomxeqsn.exe'); DeleteFile('C:\WINDOWS\system32\rgdam.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('d4f876'); BC_DeleteSvc('HBKernel32'); BC_Activate; ExecuteRepair(5 ); ExecuteRepair(6 ); ExecuteRepair(11 ); ExecuteRepair(17 ); RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss'); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); RebootWindows(true); end.
Карантин выслал, выкладываю логи.
По классификации ЛК:
lomxeqsn.exe_ - Trojan.Win32.Vapsup.mlk (свежий)
rgdam.exe_ - Trojan-Downloader.Win32.Delf.phh
Добавлено через 6 минут
Профиксить:
Выполнить:Код:O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing) O3 - Toolbar: rosqxvmn - {BD60E499-C107-4500-B34C-4BA089A6EEC3} - C:\WINDOWS\rosqxvmn.dll (file missing) O4 - HKLM\..\Run: [HBService32] System.exe O21 - SSODL: sysocmgr - {DA1DE019-A6A8-ED40-4B87-248B2A93DE99} - C:\WINDOWS\sysocmgr.dll (file missing) O21 - SSODL: comuidsg.dll - {898E02AB-9372-4a2c-9C4A-FFE1AF61097F} - C:\WINDOWS\system32\comuidsg.dll (file missing) O21 - SSODL: tkimoesa.dll - {2876D76C-CAAA-4313-AF97-8D1D9A2A1087} - C:\WINDOWS\system32\tkimoesa.dll (file missing) O21 - SSODL: goqkzdhx.dll - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} - C:\WINDOWS\system32\goqkzdhx.dll (file missing) O21 - SSODL: qrbgltos - {128E7620-E5CD-4D71-BD9D-FB718015DEF4} - C:\WINDOWS\qrbgltos.dll (file missing) O21 - SSODL: ngwstxfd - {783EC22E-A3D8-43B8-BA18-C3F21DB345C8} - C:\WINDOWS\ngwstxfd.dll (file missing)
сделать новые логи.Код:begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(17); end.
Последний раз редактировалось PavelA; 21.10.2008 в 10:54. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил оба предписания и высылаю логи
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - AppInit_DLLs: HBmhly.dll,HBCHIBI.dll,HBQQFFO.dll,HBZHUXIAN.dll,HBBO.dll,HBFY.dll
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('HBKernel32'); DeleteService('d4f876'); DeleteFile('C:\WINDOWS\system32\d4f876.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys'); DeleteFile('4F34C688.dll'); DeleteFile('C:\WINDOWS\system32\apsggjba.dll'); DeleteFile('C:\WINDOWS\system32\apzhctde.dll'); DeleteFile('C:\WINDOWS\system32\detxbiua.dll'); DeleteFile('C:\WINDOWS\system32\detxciua.dll'); DeleteFile('C:\WINDOWS\system32\detxdiua.dll'); DeleteFile('C:\WINDOWS\system32\fd233ds4f3.dll'); DeleteFile('C:\WINDOWS\system32\hdf453d.dll'); DeleteFile('C:\WINDOWS\system32\ietzcpaq.dll'); DeleteFile('C:\WINDOWS\system32\ijdyapaw.dll'); DeleteFile('C:\WINDOWS\system32\mndshsrv.dll'); DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll'); DeleteFile('C:\WINDOWS\system32\ozfyebyt.dll'); DeleteFile('C:\WINDOWS\system32\tisqctyu.dll'); DeleteFile('C:\WINDOWS\system32\ypdjgbmp.dll'); DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll'); DeleteFile('C:\WINDOWS\system32\zywlcime.dll'); DeleteFile('C:\WINDOWS\system32\zywmgime.dll'); DeleteFile('HBBO.dll'); DeleteFile('HBCHIBI.dll'); DeleteFile('HBFY.dll'); DeleteFile('HBQQFFO.dll'); DeleteFile('HBZHUXIAN.dll'); DeleteFile('HBmhly.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('d4f876'); BC_DeleteSvc('HBKernel32'); BC_Activate; RebootWindows(true); end.
Высылаю логи
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\zptlcsys.dll'); DeleteFile('E:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если еще не выполнили скрипт. Что у нас в autorun.inf на "Е"?
Открывать "Блокнотом".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Содержание файла autorun.inf
тайна покрытая мраком
Указанный в нем файл не запускается его удаляет антивирус как только он появляется.
Выкладываю Логи
Последний раз редактировалось Rene-gad; 22.10.2008 в 18:55.
В логах чисто...
Огромное СПАСИБО! Пожертвования уже внесли. Приятно с Вами сотрудничать.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\lomxeqsn.exe - Trojan.Win32.Vapsup.mlk (DrWEB: Trojan.Popuper.8343)
- c:\\windows\\system32\\rgdam.exe - Trojan-Downloader.Win32.Delf.phh (DrWEB: Trojan.PWS.Siggen.22)
Уважаемый(ая) RDL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.