здравствуйте.
вот логи после заражения. спасибо.
здравствуйте.
вот логи после заражения. спасибо.
Выполнить:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\blphcalhj0etrq.scr',''); BC_DeleteSvc('Winsx05'); BC_DeleteSvc('FCI'); BC_DeleteSvc('Winta73'); BC_DeleteSvc('Winpv41'); BC_DeleteSvc('Winot05'); BC_DeleteSvc('Winlr05'); BC_DeleteSvc('Winhn52'); BC_DeleteSvc('Winhn30'); BC_DeleteSvc('Wingm30'); BC_DeleteSvc('Winci40'); QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc63.sys',''); BC_DeleteSvc('Qwc63'); QuarantineFile('C:\WINDOWS\System32\Drivers\Ekq30.sys',''); BC_DeleteSvc('Ekq30'); QuarantineFile('C:\WINDOWS\system32\Drivers\Kxcp62.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Ekq30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwc63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winci40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhn30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhn52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winot05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlr05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta73.sys'); DeleteFile('C:\WINDOWS\system32\blphcalhj0etrq.scr'); DeleteFile('ctlsys.dll'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам.
Добавлено через 1 минуту
Профиксить:
Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing) O20 - Winlogon Notify: SensLogn- - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Последний раз редактировалось PavelA; 30.01.2009 в 13:15. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за участие, вот новые логи:
Файл сохранён как 090202_105543_virus_4986a6ffb5806.zip
Размер файла 122218
MD5 a8951c1e8d01f9a11cfeb205725d5774
На время выполнения отключите интернет и антивирус.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{044664C9-5877-4C84-9E2B-EE0AA28E21A3}: NameServer = 85.255.113.195,85.255.112.64 O17 - HKLM\System\CCS\Services\Tcpip\..\{20496548-6019-4CF1-8477-D027FF3ABEAC}: NameServer = 85.255.113.195,85.255.112.64 O17 - HKLM\System\CCS\Services\Tcpip\..\{85A0AADE-BD19-4301-9892-0D8A7E6DE13C}: NameServer = 85.255.113.195,85.255.112.64 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.195 85.255.112.64 O20 - AppInit_DLLs: vmmreg32.dll O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing) O20 - Winlogon Notify: SensLogn- - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Kxcp62'); SetServiceStart('Kxcp62', 4); DeleteFile('C:\WINDOWS\system32\Drivers\Kxcp62.sys'); ExecuteSysClean; BC_DeleteSvc('Winta73'); BC_DeleteSvc('Winsx05'); BC_DeleteSvc('Winpv41'); BC_DeleteSvc('Winou27'); BC_DeleteSvc('Winot05'); BC_DeleteSvc('Winlr05'); BC_DeleteSvc('Winhn52'); BC_DeleteSvc('Winhn30'); BC_DeleteSvc('Wingm30'); BC_DeleteSvc('Winci40'); BC_DeleteSvc('Qwc63'); BC_DeleteSvc('Ekq30'); BC_DeleteSvc('FCI'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Kxcp62.sys'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Доброго времени суток.
После последних выполненых скриптов XP ищет драйвер на какое то оборудование...
Вот новые логи(антивирус временно удалил):Настораживает(хоть и не запущенны):
'C:\WINDOWS\System32\CcEvtSvc.exe'
C:\WINDOWS\system32\blphcalhj0etrq.scr
Последний раз редактировалось Agregad; 03.02.2009 в 10:11.
Оборудование это побочный эффект AVZ.
Добавлено через 56 секунд
C:\WINDOWS\system32\blphcalhj0etrq.scr - шутка с ВСОД, надо удалить.
'C:\WINDOWS\System32\CcEvtSvc.exe' - от Симантека.
Последний раз редактировалось PavelA; 03.02.2009 в 10:33. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Посмотрите логи мои, пожалуйста.
на форуме касперского
http://forum.kaspersky.com/lofiversi...hp/t71772.html
этот файл 'C:\WINDOWS\System32\CcEvtSvc.exe' считают вирусом...Trojan.Win32.Agent.kwy
P.S.:извиняюсь если активные ссылки нельзя давать...
Поступим вот так.
Выполнить:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\blphcalhj0etrq.scr',''); QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe',''); DeleteFile('C:\WINDOWS\system32\blphcalhj0etrq.scr'); BC_DeleteSvc('CcEvtSvc'); DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файлов в карантине не оказалось...видимо уничтожились до этого скрипта...
вот логи:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\WINDOWS\system32\blphcalhj0etrq.scr'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Вот
Файл сохранён как 090203_123647_virus_4988102fb7b76.zip
Размер файла 602
MD5 b0a50ad7042b47da0c7c50109872ef08
Логи прилагаю:
В логах чисто, установите SP3+all updates...
Выражаю вам всем благодарность от всего образования Иркутской области за помощь в устранении зловредов=) Спасибо
Sp3 установить не могу, это один из немногих ещё не лицензированных компьютеров...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Agregad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.