Показано с 1 по 13 из 13.

Просто огромное кол-во РАЗНЫХ вирусов! (заявка № 37824)

  1. #1
    Junior Member Репутация
    Регистрация
    12.11.2007
    Сообщений
    63
    Вес репутации
    38

    Exclamation Просто огромное кол-во РАЗНЫХ вирусов!

    Дорогие хэлперы!
    У соседки есть древний комп на XP SP1, он безбожно тормозил. Хотел обновить до SP2, но он пишет, что надо обладать правами админа (хотя я под админом и вхожу). DRWeb нашёл кучу вирусов-троянов, но после проверки автозагрузки полная проверка тормозится и комп не реагирует на команды. Ситуация осложнена тем, что оптический привод не работает, и утилиты приходится запускать с флешки - которая, конечно сразу заражается... И в безопасном режиме комп не грузится. Вообщем я пофиксил, сделал логи, но на флешке (на своём уже проверил) было около 40 троянов, не знаю, скажется ли это на логах. Первый скрипт AVZ не смог выполнить - запускал несколько раз, но когда уже все диски проверены и выходят последние строчки в окне ("если вы подозреваете вирусы - обратитесь на virusinfo и т.д.") комп виснет и не появляется окошка скрипты выполнены - и лог не записывается. В итоге только 2 лога.
    Помогите.
    Последний раз редактировалось сергиус; 22.01.2009 в 10:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    а проверять AVPTool пробовали?
    Скачайте AVZ у меня из подписи и попробуйте сделать недостающий лог.
    Последний раз редактировалось light59; 20.01.2009 в 15:29.

  4. #3
    Junior Member Репутация
    Регистрация
    12.11.2007
    Сообщений
    63
    Вес репутации
    38
    Удалось запустить AVP Tool, но система жутко тормозит - за 3 часа проверено 3% (58 вирей найдено). Оставлю работающим на всю ночь - пусть прочесывает. Завтра если всё удачно будет новые логи сделаю.

  5. #4
    Junior Member Репутация
    Регистрация
    12.11.2007
    Сообщений
    63
    Вес репутации
    38
    Увы, с AVP tool системе удалось проверить за 18 часов только 10%!!! Найдено 65 вирусов. Проверку пришлось прервать. А вот с полиморфным AVZ удалось сделать все логи. На всякий случай ещё раз HIJACK'ом пофиксил. Очень надеюсь на вашу помощь - ситуация патовая - система тормозит жутко. По прежнему не имею прав админа и доступа к безопасному режиму.
    Последний раз редактировалось сергиус; 22.01.2009 в 12:21.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\ВЛАД\LOCALS~1\Temp\winnnpmwm.exe','');
     QuarantineFile('C:\WINDOWS\system\Fun.exe','');
     QuarantineFile('C:\WINDOWS\dc.exe','');
     DeleteService('HBKernel32');
     DeleteService('f28907d');
     DeleteService('c6424110');
     DeleteService('b770ca2');
     DeleteService('b71fe93');
     DeleteService('b1a18a3e');
     QuarantineFile('C:\WINDOWS\System32\b1a18a3e.sys','');
     DeleteService('HBKernel');
     DeleteService('ati2mqxx');
     DeleteService('ICF');
     QuarantineFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\HBKernel.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati2mqxx.sys','');
     QuarantineFile('C:\WINDOWS\Update.dll','');
     QuarantineFile('C:\WINDOWS\System32\dpppaaid.dll','');
     QuarantineFile('C:\WINDOWS\System32\csrss.dll','');
     QuarantineFile('C:\WINDOWS\System32\2EF0D734.dll','');
     QuarantineFile('C:\WINDOWS\Fonts\Framdee.ttf','');
     QuarantineFile('c:\windows\system32\rs32net.exe','');
     TerminateProcessByName('c:\windows\system32\rs32net.exe');
     DeleteFile('c:\windows\system32\rs32net.exe');
     DeleteFile('C:\WINDOWS\Fonts\Framdee.ttf');
     DeleteFile('C:\WINDOWS\System32\2EF0D734.dll');
     DeleteFile('C:\WINDOWS\System32\3D144530.dll');
     DeleteFile('C:\WINDOWS\System32\4506AD31.dll');
     DeleteFile('C:\WINDOWS\System32\4D023DE9.dll');
     DeleteFile('C:\WINDOWS\System32\4FBFD5A4.dll');
     DeleteFile('C:\WINDOWS\System32\56BC86C7.dll');
     DeleteFile('C:\WINDOWS\System32\5934EA2B.dll');
     DeleteFile('C:\WINDOWS\System32\66AFCB56.dll');
     DeleteFile('C:\WINDOWS\System32\83baaed7.dll');
     DeleteFile('C:\WINDOWS\System32\93DEE065.dll');
     DeleteFile('C:\WINDOWS\System32\950D1600.dll');
     DeleteFile('C:\WINDOWS\System32\9CA963CA.dll');
     DeleteFile('C:\WINDOWS\System32\A1A6BC2E.dll');
     DeleteFile('C:\WINDOWS\System32\A55F538E.dll');
     DeleteFile('C:\WINDOWS\System32\a7d8317f.dll');
     DeleteFile('C:\WINDOWS\System32\AAC70E2B.dll');
     DeleteFile('C:\WINDOWS\System32\B6E23E89.dll');
     DeleteFile('C:\WINDOWS\System32\BA7EDF54.dll');
     DeleteFile('C:\WINDOWS\System32\bcpjnnoc.dll');
     DeleteFile('C:\WINDOWS\System32\bcppfamm.dll');
     DeleteFile('C:\WINDOWS\System32\C8FFD223.dll');
     DeleteFile('C:\WINDOWS\System32\csrss.dll');
     DeleteFile('C:\WINDOWS\System32\D9C002DD.dll');
     DeleteFile('C:\WINDOWS\System32\DA63E650.dll');
     DeleteFile('C:\WINDOWS\System32\DFB3DAC5.dll');
     DeleteFile('C:\WINDOWS\System32\dpppaaid.dll');
     DeleteFile('C:\WINDOWS\System32\E0D39066.dll');
     DeleteFile('C:\WINDOWS\System32\E1384213.dll');
     DeleteFile('C:\WINDOWS\System32\E4814792.dll');
     DeleteFile('C:\WINDOWS\System32\E783C505.dll');
     DeleteFile('C:\WINDOWS\System32\eblgakcn.dll');
     DeleteFile('C:\WINDOWS\System32\f22488be.dll');
     DeleteFile('C:\WINDOWS\System32\F65BDEC7.dll');
     DeleteFile('C:\WINDOWS\System32\F8E07BB2.dll');
     DeleteFile('C:\WINDOWS\System32\fhneocbi.dll');
     DeleteFile('C:\WINDOWS\System32\gcjedcek.dll');
     DeleteFile('C:\WINDOWS\system32\gepqkg.dll');
     DeleteFile('C:\WINDOWS\System32\ghhnbggk.dll');
     DeleteFile('C:\WINDOWS\System32\gnpfkmfi.dll');
     DeleteFile('C:\WINDOWS\System32\goibnkci.dll');
     DeleteFile('C:\WINDOWS\System32\hdhbejjk.dll');
     DeleteFile('C:\WINDOWS\System32\kjeocpoj.dll');
     DeleteFile('C:\WINDOWS\System32\lapoejlc.dll');
     DeleteFile('C:\WINDOWS\System32\lfjjofnf.dll');
     DeleteFile('C:\WINDOWS\System32\lgljbjgb.dll');
     DeleteFile('C:\WINDOWS\System32\lncclemn.dll');
     DeleteFile('C:\WINDOWS\System32\mdjioeeo.dll');
     DeleteFile('C:\WINDOWS\System32\nndhleni.dll');
     DeleteFile('C:\WINDOWS\System32\sh09018.dll');
     DeleteFile('C:\WINDOWS\Update.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\HBKernel.sys');
     DeleteFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe');
     DeleteFile('C:\WINDOWS\System32\b1a18a3e.sys');
     DeleteFile('C:\WINDOWS\System32\b71fe93.sys');
     DeleteFile('C:\WINDOWS\System32\b770ca2.sys');
     DeleteFile('C:\WINDOWS\System32\c6424110.sys');
     DeleteFile('C:\WINDOWS\System32\f28907d.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\HBKernel32.sys');
     DeleteFile('C:\WINDOWS\SVIQ.EXE');
     DeleteFile('C:\WINDOWS\dc.exe');
     DeleteFile('C:\WINDOWS\system\Fun.exe');
     DeleteFile('C:\DOCUME~1\ВЛАД\LOCALS~1\Temp\winnnpmwm.exe');
     DeleteFile('explore.exe');
     DeleteFile('gepqkg.dll');
     DeleteFile('nmncpfmj.dll');
     DeleteFileMask('%tmp% ','*.* ',true);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(10);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  7. #6
    Junior Member Репутация
    Регистрация
    12.11.2007
    Сообщений
    63
    Вес репутации
    38
    Карантин сделал.
    Результат загрузки
    Файл сохранён как 090122_011600_virus_49779ea0b6104.zip
    Размер файла 147757
    MD5 c5c6c548387fd068137c91beca4c202c
    При проверке флешки на моём компе вирусы находятся. Логи сделал заново.
    Последний раз редактировалось сергиус; 22.01.2009 в 12:21.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Пофиксите
    Код:
    O20 - AppInit_DLLs: gnpfkmfi.dll,hdhbejjk.dll,bcpjnnoc.dll,nndhleni.dll,a7d8317f.dll,mdjioeeo.dll,fhneocbi.dll,lncclemn.dll,f22488be.dll,83baaed7.dll,lgljbjgb.dll,goibnkci.dll,ghhnbggk.dll,lfjjofnf.dll,eblgakcn.dll,dpppaaid.dll,bcppfamm.dll,gcjedcek.dll,lapoejlc.dll,kjeocpoj.dll,
    O20 - Winlogon Notify: gepqkg - C:\WINDOWS\
    O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - (no file)
    в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\csrss.dll');
     DeleteFile('C:\WINDOWS\System32\sh09018.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2mqxx.sys');
     DeleteService('ati2mqxx');
     DeleteFile('2EF0D734.dll');
     DeleteFile('3D144530.dll');
     DeleteFile('4506AD31.dll');
     DeleteFile('4D023DE9.dll');
     DeleteFile('4FBFD5A4.dll');
     DeleteFile('56BC86C7.dll');
     DeleteFile('5934EA2B.dll');
     DeleteFile('66AFCB56.dll');
     DeleteFile('83baaed7.dll');
     DeleteFile('93DEE065.dll');
     DeleteFile('950D1600.dll');
     DeleteFile('9CA963CA.dll');
     DeleteFile('A1A6BC2E.dll');
     DeleteFile('A55F538E.dll');
     DeleteFile('AAC70E2B.dll');
     DeleteFile('B6E23E89.dll');
     DeleteFile('BA7EDF54.dll');
     DeleteFile('C8FFD223.dll');
     DeleteFile('C:\WINDOWS\System32\01AFE3DC.dll');
     DeleteFile('D9C002DD.dll');
     DeleteFile('DA63E650.dll');
     DeleteFile('DFB3DAC5.dll');
     DeleteFile('E0D39066.dll');
     DeleteFile('E1384213.dll');
     DeleteFile('E4814792.dll');
     DeleteFile('E783C505.dll');
     DeleteFile('F8E07BB2.dll');
     DeleteFile('a7d8317f.dll');
     DeleteFile('bcpjnnoc.dll');
     DeleteFile('bcppfamm.dll');
     DeleteFile('dpppaaid.dll');
     DeleteFile('eblgakcn.dll');
     DeleteFile('f22488be.dll');
     DeleteFile('fhneocbi.dll');
     DeleteFile('gcjedcek.dll');
     DeleteFile('ghhnbggk.dll');
     DeleteFile('gnpfkmfi.dll');
     DeleteFile('goibnkci.dll');
     DeleteFile('hdhbejjk.dll');
     DeleteFile('kjeocpoj.dll');
     DeleteFile('lapoejlc.dll');
     DeleteFile('lfjjofnf.dll');
     DeleteFile('lgljbjgb.dll');
     DeleteFile('lncclemn.dll');
     DeleteFile('mdjioeeo.dll');
     DeleteFile('nndhleni.dll');
     DeleteFile('C:\Documents and Settings\Влад\Local Settings\Temp\009.exe');
     DeleteFile('C:\Documents and Settings\Влад\Local Settings\Temporary Internet Files\Content.IE5\KTY3CDAR\009[2].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('nvmini');
     BC_DeleteSvc('b1a18a3e');
     BC_DeleteSvc('ati2mqxx');
    BC_Activate;
    RebootWindows(true);
    end.
    логи повторите. Темп-папки ещё почистите.
    Последний раз редактировалось light59; 22.01.2009 в 09:16.

  9. #8
    Junior Member Репутация
    Регистрация
    12.11.2007
    Сообщений
    63
    Вес репутации
    38
    Пофиксил, логи прицепляю. Теперь появилась ещё одна проблема - исчезло меню пуск и автозагрузка (т.е. полностью полоска со значками внизу) и невозможно выполнение операции копировать-вставить (данные строчки даже не появляются при правом клике).
    Во время фиксации в Hijack пишет: you have a particulary large amount of hijacked domains. It's better to delete the file itself then tp fix each item (у вас слишком большое кол-во hijack-доменов. Возможно лучше сначала удалить сам файл и потом пофиксить каждое значение)
    Последний раз редактировалось сергиус; 10.02.2009 в 13:44.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Скрипт делали в полиморфе?

    Скачать IceSword
    -Запустите программу. Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл
    Код:
    C:\WINDOWS\System32\Drivers\ati2mqxx.sys
    -Нажмите по нему правой кнопкой мыши и выберите force delete.
    -На запрос потверждения ответьте "да".
    и без перезагрузки в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('F65BDEC7.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2mqxx.sys');
     DeleteService('ati2mqxx');
    BC_ImportDeletedList;
     BC_DeleteSvc('ati2mqxx');
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(16);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    логи повторяем.

    Добавлено через 1 минуту

    SP1 надо фиксить... Да и НОД в очередной раз курил в сторонке...
    Последний раз редактировалось light59; 22.01.2009 в 10:47. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    эх ты, студент, студент- флешку то надо было с защитой от записи вставлять,(с перемычкой флешки надо покупать) если заражать флешку не хотел
    логи тоже в полиморфном сделать.

  12. #11
    Junior Member Репутация
    Регистрация
    12.11.2007
    Сообщений
    63
    Вес репутации
    38
    Всё сделал, но пуск так и не появился.
    Логи сделал полиморфом - прикрепляю. Постепенно начинает потряхивать ситуёвина эта.
    Последний раз редактировалось сергиус; 10.02.2009 в 13:44.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    В AVZ, пункт 13 восстановления сделайте и полную проверку CureIT...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\b1a18a3e.sys - Trojan-GameThief.Win32.Magania.anej (DrWEB: Trojan.NtRootKit.1934)
      2. c:\\windows\\system32\\csrss.dll - Backdoor.Win32.Small.gzp (DrWEB: Trojan.MulDrop.29469)
      3. c:\\windows\\system32\\dpppaaid.dll - Trojan-GameThief.Win32.OnLineGames.bkrn
      4. c:\\windows\\system32\\drivers\\hbkernel.sys - Trojan-GameThief.Win32.OnLineGames.syng (DrWEB: Trojan.PWS.Gamania.13206)
      5. c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.bkan (DrWEB: BackDoor.Bulknet.320)
      6. c:\\windows\\system32\\2ef0d734.dll - Trojan-GameThief.Win32.Magania.anfc (DrWEB: Trojan.PWS.Wsgame.origin)
      7. c:\\windows\\update.dll - Trojan.Win32.Qhost.ktn


  • Уважаемый(ая) сергиус, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Куча разных вирусов.
      От SergSlim в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 20.10.2010, 02:10
    2. Найдено огромное кол-во вирусов
      От zarazhen в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2010, 16:45
    3. Много разных вирусов
      От AnnAit в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 11.03.2010, 22:27
    4. Куча разных вирусов
      От Saint-technik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.01.2010, 21:57
    5. Ответов: 2
      Последнее сообщение: 16.02.2009, 12:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01354 seconds with 16 queries