Боремся за жизнь после установки сборки от лонера
Поставил win xp sp3 сборка от лонера.
Сразу поставил нод и тут понеслось
На данный момент раз 20 фиксел все с помощью hijack this, avz, нодом проганялся многократно, куритом и утилитой от avz.
но все равно
Логи прилагаются
UPD: Удалил xj*** немного легче стало.
Последний раз редактировалось usja; 23.03.2009 в 21:19.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну и нахватали вы всякой дряни...
Заархивируйте файлик avz.exe с паролем virus .Код:Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Пришлите его по ссылке http://virusinfo.info/upload_virus.php?tid=42348.
Сделайте то, что написано тут http://virusinfo.info/showthread.php?t=15927 (Желательно использовать вариант с LiveCD).
Повторите логи.
Залил.Заархивируйте файлик avz.exe с паролем virus .
Код:Файл сохранён как090323_213003_avz_49c7d52b72d2b.zipРазмер файла714404MD590a0ff41e46bbd20ca9d7d55b5cb0d39Было сделано с помощью cureit затем rmvirut от AVP.Сделайте то, что написано тут http://virusinfo.info/showthread.php?t=15927 (Желательно использовать вариант с LiveCD).
rmvirut ругался почти на все .exe
Логи прилагаются.
Немного полегчало после удаления файла xjxljye32.exe нод его назвал win32.Injector.CT
Благодарю за столь быстрый ответ
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('xjxljye.dll',''); QuarantineFile('F:\WINDOWS\system32\webcheck.dll',''); QuarantineFile('F:\WINDOWS\system32\pdbcopy.exe',''); QuarantineFile('F:\WINDOWS\system32\makehm.exe',''); QuarantineFile('F:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('F:\WINDOWS\system32\i386kd.exe',''); QuarantineFile('F:\WINDOWS\system32\gcc.exe',''); QuarantineFile('F:\WINDOWS\system32\7z.exe',''); QuarantineFile('F:\WINDOWS\services.exe',''); QuarantineFile('F:\Documents and Settings\andrey\reader_s.exe',''); BC_DeleteSvc('tcpsr'); QuarantineFile('F:\WINDOWS\System32\drivers\tcpsr.sys',''); BC_DeleteSvc('sptd'); BC_DeleteSvc('ICF'); BC_DeleteSvc('IPSECNDISBRIDGE'); BC_DeleteSvc('protect'); QuarantineFile('F:\WINDOWS\system32\ipsecndis.sys',''); BC_DeleteSvc('ati0srxx'); BC_DeleteSvc('ati0udxx'); BC_DeleteSvc('ati0yqxx'); BC_DeleteSvc('ati1wexx'); BC_DeleteSvc('ati3afxx'); BC_DeleteSvc('ati3hxxx'); BC_DeleteSvc('ati5rrxx'); BC_DeleteSvc('ati6oexx'); BC_DeleteSvc('ati6tqxx'); BC_DeleteSvc('ati7gmxx'); QuarantineFile('F:\WINDOWS\system32\Drivers\NDIS.sys',''); QuarantineFile('F:\WINDOWS\System32\Drivers\ati1hoxx.sys',''); BC_DeleteSvc('ati1hoxx'); QuarantineFile('F:\WINDOWS\system32\DRIVERS\dlkfet5b.sys',''); QuarantineFile('f:\windows\system32\rs32net.exe',''); DeleteFile('f:\windows\system32\rs32net.exe'); DeleteFile('F:\WINDOWS\system32\ipsecndis.sys'); DeleteFile('F:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('F:\Documents and Settings\andrey\reader_s.exe'); DeleteFile('F:\WINDOWS\services.exe'); DeleteFile('F:\WINDOWS\system32\7z.exe'); DeleteFile('F:\WINDOWS\system32\gcc.exe'); DeleteFile('F:\WINDOWS\system32\i386kd.exe'); DeleteFile('F:\WINDOWS\system32\idaw64.exe'); DeleteFile('F:\WINDOWS\system32\makehm.exe'); DeleteFile('F:\WINDOWS\system32\pdbcopy.exe'); DeleteFile('F:\WINDOWS\system32\windres.exe'); DeleteFile('xjxljye.dll'); DeleteFile('F:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('F:\WINDOWS\Temp\VRT22.tmp'); DeleteFile('f:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('F:\WINDOWS\system32\dctool32.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Карантин:
Файл сохранён как 090324_200758_virus_49c9136ebdf42.zip
Размер файла 646976
MD5 24debb88920cb43f95c7fbebfa2da6c6
Скачайте IceSword
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
-Нажмите по нему правой кнопкой мыши и выберите force delete.Код:F:\WINDOWS\system32\Drivers\ati0clxx.sys
-На запрос потверждения ответьте "да".
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati0clxx'); QuarantineFile('F:\WINDOWS\system32\userinit.exe',''); QuarantineFile('f:\windows\system32\xjxljye.dll',''); DeleteFile('F:\WINDOWS\system32\Drivers\ati0clxx.sys'); DeleteFile('F:\WINDOWS\System32\Drivers\ati1mixx.sys'); DeleteFile('F:\WINDOWS\System32\Drivers\ati7bfxx.sys'); DeleteFile('F:\WINDOWS\System32\Drivers\ati8xwxx.sys'); DeleteFile('F:\Documents and Settings\andrey\reader_s.exe'); DeleteFile('F:\WINDOWS\System32\reader_s.exe'); DeleteFile('F:\WINDOWS\System32\rs32net.exe'); DeleteFile('f:\windows\system32\xjxljye.dll'); BC_Importall; BC_DeleteSvc('ati0clxx'); BC_DeleteSvc('ati8xwxx'); BC_DeleteSvc('ati7bfxx'); BC_DeleteSvc('ati1mixx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин.
1.Сделайте полную проверку CureIt (запишите его на CD на незаражённом компьютере).
2.Замените файлна чистый из дистрибутива.Код:F:\WINDOWS\system32\userinit.exe
3.Скачайте заново AVZ.
4.Повторите логи по правилам.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- \avz.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56 )
- f:\documents and settings\andrey\reader_s.exe - Trojan.Win32.Agent2.fsa ( DrWEB: Trojan.DownLoad.29459, BitDefender: Trojan.PWS.Papras.N )
- f:\windows\system32\drivers\ndis.sys - Rootkit.Win32.Agent.ijn ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )
- f:\windows\system32\i386kd.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Agent.AGSP )
- f:\windows\system32\rs32net.exe - Trojan.Win32.Agent2.gjr ( DrWEB: BackDoor.Bulknet.320, BitDefender: Trojan.Kobcka.HP )
- f:\windows\system32\svchost.exe:ext.exe:$data - Trojan-Downloader.Win32.Agent.bmrg ( BitDefender: Gen:Trojan.Heur.P20708FDFDF )
- f:\windows\system32\xjxljye.dll - Backdoor.Win32.Hijack.an ( BitDefender: Trojan.FakeAlert.ABZ )
Уважаемый(ая) usja, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
