Junior Member
Вес репутации
56
Не запускается explorer.exe [Trojan.Win32.Agent.adcr, Trojan-Downloader.Win32.Mutant.aim
]
Здравствуйте. ПК в свободном доступе используетс я несколькими людьми.
Не загружается Эксплорер при включении, откат системы на несколько дней помог, теперь все повторилось через диспетчер грузится.
Периодически отключается доступ в сеть
rstrui.exe' - была попытка отключить самостоятельно через Advanced Uninstaller PRO 2004 - не помогло.
Антивирусы ничего не видят.
Спасибо заранее.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверку CureIt или AVPTool делали?
Junior Member
Вес репутации
56
Да, CureIt - нашел 3 вируса, Ваш написал, что их очень монго, но CureIt их не нашел..
Кстати после Вашей проверки комп летать стал...
Скачать этот AVZ http://depositfiles.com/files/5k0qihqas
В скаченном AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\Microsoft Common\wuauclt.exe','');
QuarantineFile('C:\WINDOWS\system32\Cpl32ver.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winty51.sys','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\MLI6GTRI\winload[1].exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tansgt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\litsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati4glxx.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ati4glxx.sys');
DeleteFile('srv.exe');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\nphoik.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Din50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flp05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nty83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ouy51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdi26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winch51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winfk04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winip04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winjo27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkp73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winms26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpv62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winty62.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winub27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winye27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xei05.sys');
DeleteFile('sockspy.dll');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\MLI6GTRI\winload[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\Winty51.sys');
DeleteFile('C:\WINDOWS\system32\Cpl32ver.exe');
DeleteFile('C:\PROGRA~1\Microsoft Common\wuauclt.exe');
DeleteService('ati4glxx');
BC_ImportALL;
BC_DeleteSvc('ati4glxx');
BC_DeleteSvc('Xei05');
BC_DeleteSvc('Winye27');
BC_DeleteSvc('Winub27');
BC_DeleteSvc('Winty62');
BC_DeleteSvc('Winty51');
BC_DeleteSvc('Winpv62');
BC_DeleteSvc('Winms26');
BC_DeleteSvc('Winkp73');
BC_DeleteSvc('Winjo27');
BC_DeleteSvc('Winip04');
BC_DeleteSvc('Winfk04');
BC_DeleteSvc('Winch51');
BC_DeleteSvc('Wdi26');
BC_DeleteSvc('Wch38');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('protect');
BC_DeleteSvc('Ouy51');
BC_DeleteSvc('Oty62');
BC_DeleteSvc('Nty83');
BC_DeleteSvc('Flp05');
BC_DeleteSvc('Din50');
BC_DeleteSvc('aic32p');
BC_DeleteSvc('wscsvcEventlog');
BC_DeleteSvc('ThemesWebClient');
BC_DeleteSvc('SharedAccessRpcSs');
BC_DeleteSvc('NetDDEdsdmUTSCSI');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('MessengerNetDDEdsdm');
BC_DeleteSvc('EventSystemWmiApSrv');
BC_DeleteSvc('ERSvcRasAuto');
BC_DeleteSvc('AntiVirSchedulerSpooler');
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=37364
Почиститесь от мусора http://virusinfo.info/showthread.php?t=10025
Повторите логи по правилам.
Junior Member
Вес репутации
56
После сканирования новым до чистки:
Вложения
Junior Member
Вес репутации
56
Имейте совесть! virusinfo_cure.zip - это карантин, я не успеваю убирать за Вами.
Junior Member
Вес репутации
56
Сообщение от
Maxim
Имейте совесть! virusinfo_cure.zip - это карантин, я не успеваю убирать за Вами.
надо подождать? мне написано прислать до и после...
Выполните скрипт
Код:
begin
ExecuteStdScr(6);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetAVZPMStatus(true);
DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xei05.sys');
DeleteService('Xei05');
DeleteService('Winty51');
DeleteService('Oty62');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Повторите логи.
Добавлено через 1 минуту
Сообщение от
koksinbox
надо подождать? мне написано прислать до и после...
Карантин запрещено выкладывать в теме. В теме Вы прикрепляете только логи.
Последний раз редактировалось Макcим; 14.01.2009 в 14:36 .
Причина: Добавлено
Junior Member
Вес репутации
56
Скрипт выполнен, после перезагрузки найдено неизвестное оборудование...
Вложения
Это побочный эффект, удалите это устройство, где остальные логи?
Junior Member
Вес репутации
56
Вложения
Junior Member
Вес репутации
56
Вложения
Почитайте приложение 3 правил о там, как присылать запрошенные файлы и какие это должны быть файлы...... Вы в скаченном AVZ скрипты делаете?
Пока лог гляну.
Добавлено через 12 минут
в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xei05.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Xei05');
BC_DeleteSvc('Winty51');
BC_DeleteSvc('Oty62');
BC_Activate;
RebootWindows(true);
end.
логи повторите.
Последний раз редактировалось light59; 14.01.2009 в 16:05 .
Причина: Добавлено
Junior Member
Вес репутации
56
Да, AVZ, а не Моnk.
еще при сканировании не смотрит диск Д, так и надо?
Вложения
В общем-то ничего плохого не видно, кроме ошметков старых антивирусов...
1. Удалите задания в Планировщике (Панель управления - Назначенные задания).
2. Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('FCI');
BC_DeleteSvc('Xei05');
BC_DeleteSvc('Winty51');
BC_DeleteSvc('REGSpy');
BC_DeleteSvc('Oty62');
BC_DeleteSvc('nod32drv');
BC_DeleteSvc('FILESpy');
BC_DeleteSvc('avpg');
BC_DeleteSvc('MCVSRte');
BC_DeleteSvc('mcupdmgr.exe');
BC_DeleteSvc('KAVMonitorService');
BC_DeleteSvc('AVPCC');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Последний раз редактировалось Bratez; 15.01.2009 в 16:26 .
I am not young enough to know everything...
Junior Member
Вес репутации
56
Вложения
Планировщик очищен, а вот мусор в службах и драйверах так и остался, т.е. результат работы скрипта какая-то ваша программа откатила назад, наверно Avira?
На время выполнения отключите антивирус.
Пофиксите в HijackThis:
Код:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
и выполните еще раз скрипт из сообщения #16, я его немного дополнил.
Потом сделайте заново два последних лога.
I am not young enough to know everything...
Junior Member
Вес репутации
56
Вложения
О! Теперь порядок!
Какие жалобы остались?
I am not young enough to know everything...