Junior Member
Вес репутации
60
Повышенный траффик
Добрый день.
На компе наблюдается повышенный траффик, что то удалило exeшник Касперского. Dr. Web CureIt! находит internat.exe, llbjyn32bb.dll, lljyn0812221.exe. При попытке их удалить/вылечить, windows больше не пускается, помогает только загрузка последней удачной конфигурации. В безопасном режиме комп не загружается.....
Логи во вложении...
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\migpwd.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\internat.exe','');
QuarantineFile('WinTcpip.exe','');
QuarantineFile('C:\WINDOWS\system32\MN\0001.exe','');
QuarantineFile('C:\WINDOWS\system32\RiSinge.exe','');
QuarantineFile('C:\WINDOWS\system32\notgs.exe','');
DeleteService('SeagateSyncServica');
StopService('SeagateSyncServica');
QuarantineFile('C:\WINDOWS\system32\im.exe','');
QuarantineFile('C:\Program Files\Remote\Remote.exe','');
QuarantineFile('C:\WINDOWS\system32\takfl.exe','');
QuarantineFile('C:\WINDOWS\system32\tasasn.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys','');
QuarantineFile('C:\WINDOWS\system\llbjyn32bb.dll','');
QuarantineFile('c:\windows\system32\wbem\internat.exe','');
TerminateProcessByName('c:\windows\system32\wbem\internat.exe');
QuarantineFile('c:\windows\system32\mn\0001.exe','');
TerminateProcessByName('c:\windows\system32\mn\0001.exe');
DeleteFile('c:\windows\system32\mn\0001.exe');
DeleteFile('c:\windows\system32\wbem\internat.exe');
DeleteFile('C:\WINDOWS\system\llbjyn32bb.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
DeleteFile('C:\WINDOWS\system32\im.exe');
DeleteFile('C:\WINDOWS\system32\MN\0001.exe');
DeleteFile('WinTcpip.exe');
DeleteFile('G:\internat.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
60
Карантин отправила... Логи делаю
Junior Member
Вес репутации
60
Карантин отправила, логи во вложении...
Вложения
Junior Member
Вес репутации
60
Аууууу..... Где ВЫ помощники??
Junior Member
Вес репутации
60
Ребята, помогите... Что дальше делать???
Не надо волноваться, помогем. Сейчас же у многих "корперативы" идут.
Ответа по карантину пока нет.
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Policies\Explorer\Run: [llajyn_df] C:\WINDOWS\system\lljyn081221.exe
O4 - Startup: BIRTHDAY! millennium.lnk = C:\Program Files\BIRTHDAY\BIRTHDAY.EXE
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\BIRTHDAY\BIRTHDAY.EXE','');
BC_DeleteSvc('tasasn');
BC_DeleteSvc('takfl');
QuarantineFile('C:\Program Files\Remote\Remote.exe','');
QuarantineFile('C:\WINDOWS\system32\RiSinge.exe','');
QuarantineFile('c:\windows\system32\iasapi.dll','');
QuarantineFile('C:\WINDOWS\system\llbjyn32bb.dll','');
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL','');
DeleteFile('C:\WINDOWS\system\llbjyn32bb.dll');
DeleteFile('C:\Program Files\BIRTHDAY\BIRTHDAY.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить новый карантин.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
Карантин отправила, логи во вложении
Вложения
'C:\Program Files\Remote\Remote.exe' - Backdoor.Win32.Hupigon.fhaq
'c:\windows\system32\iasapi.dll' - подозревают 6 из 24 на ВТ
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('system#@');
BC_DeleteSvc('notgs');
SetServiceStart('notgs', 4);
DeleteFile('c:\windows\system32\iasapi.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
DeleteFile('C:\WINDOWS\system32\notgs.exe');
DeleteFile('C:\Program Files\Remote\Remote.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
Логи сделала.... во вложении....
Вложения
Junior Member
Вес репутации
60
Ребята.... Проверьте логи плиз....
Junior Member
Вес репутации
60
Ребята... Ау... Где Вы???
Добавлено через 2 часа 43 минуты
Ребята... Ау... Где Вы???
Последний раз редактировалось Варвара; 06.01.2009 в 11:05 .
Причина: Добавлено
Скачать IceSword. Через него найти и удалить:
'C:\WINDOWS\system32\Drivers\zgpbyuh.sys
Затем:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
BC_DeleteSvc('zgpbyuh');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\remote\\remote.exe - Backdoor.Win32.Hupigon.fhaq (DrWEB: Trojan.MulDrop.29401) c:\\windows\\system\\llbjyn32bb.dll - Worm.Win32.AutoRun.vil (DrWEB: Trojan.DownLoad.26372) c:\\windows\\system32\\drivers\\zgpbyuh.sys - Backdoor.Win32.Agent.wlo (DrWEB: Trojan.NtRootKit.2529) c:\\windows\\system32\\iasapi.dll - Trojan.Win32.MMM.hn c:\\windows\\system32\\mn\\0001.exe - Backdoor.Win32.Small.hah (DrWEB: Trojan.DownLoad.25680) c:\\windows\\system32\\wbem\\internat.exe - not-a-virus:WebToolbar.Win32.VB.a (DrWEB: Win32.HLLW.Autoruner.5279) g:\\autorun.inf - Worm.Win32.AutoRun.dej g:\\internat.exe - not-a-virus:WebToolbar.Win32.VB.a (DrWEB: Win32.HLLW.Autoruner.5279)