-
Junior Member
- Вес репутации
- 55
Какой-то новый Backdoor.Win32.Bifrose.azbq
В общем, ситуация следующая.
Сам занимаюсь сайтами, решил тут на днях помочь убрать с сайта один вирус. И при этом забыл включить "Касперского".
Произошло следующее:
Экран стал полу прозрачным. Просят денежку.
Делал следующее:
- Тут же выдернул шнур инета.
- Сделал перезагрузку и пытался войти в Безопасный режим, но увы - синий экран при загрузке файлов.
- Зашел в обычный режим. Убрал этот экран банальной манипуляцией клавиш Alt+Ctrl+Del (Ctrl+Shift+Esc не работает). После выбора диспечера задач на доли секунды меня все-таки пускали до него и я успел нажать левой кнопкой мыши на одну из задач и завершить ее. Далее Я завершал разные задачи но он скрывался под именем sound.exe. Звапустил msconfig и убрал все вайлы с автозапуска.
- При запуске касперского, удаления и востановления или ошибка (Внутренняя ошибка 2324. 1816) или просто ничего. Тоесть его заблокировали.
- Так как у меня был ноутбук я решил октыть доступ К диску "С" для ноутбука, чтобы проверить его на вирусы, трояны и т.д... При проверки он находил этот самый sound.exe (Индифицирует его как "Backdoor.Win32.Bifrose.azbq") и удолял но он снова появлялся. Найти файл который создавал его пока найти не удалось.
- Установил AVZ, поставил на ночь проверяться. сделал логи, проверил все.
- Установил AVPTool с горем по полам, пришлось много файлов пропускать... но в итоге он нашел в system32 какую-то dll с запросом перезагрузки. После перезагрузки уже с видимостью на рабочий стол (просьба о подачи sms на хлеб пропала) он выдает синий эккран.
Сейчас пытаюсь востановить Windows. Логи вышлю как востановлю.
Выкладываю то что могу...
Винду восстановил, окон больше не появляется, но касперский до сих пор не удаляется и не запускается, также и не восстанавливается...
Все!!! Решил сам!!! Всем спасибо, но ответа так и не дождался...
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уверены, что все решилось?
Я бы сделал так:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\Program Files\QIP\Users\228958453\RcvdFiles\433958240_Машуля\Surprise.exe','');
QuarantineFile('C:\WINDOWS\system32\IoctlSvc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\update.exe','');
QuarantineFile('rdmdmm.dll','');
QuarantineFile('Explorer.exe logon.exe','');
QuarantineFile('C:\Windows\Media\sound.exe','');
QuarantineFile('C:\WINDOWS\system32\vncscan.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
QuarantineFile('C:\WINDOWS\system32\rdmdma.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('aexrrsdoetf.sys','');
QuarantineFile('C:\WINDOWS\system32\\AstSrv.exe','');
QuarantineFile('C:\WINDOWS\system32\1028y.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\XPVCOM.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\stremu.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\AsIO.sys','');
QuarantineFile('C:\WINDOWS\system32\xpsp1res.dll','');
DeleteFile('C:\WINDOWS\system32\1028y.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\rdmdma.sys');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\Windows\Media\sound.exe');
DeleteFile('logon.exe');
DeleteFile('rdmdmm.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\update.exe');
BC_DeleteSvc('i386si');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
И после этого еще раз логи.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Сделал все. Выкладываю логи.
Только чет комп перезагружаться при входе на рабочий стол стал. Заходит только если выбрать Загрузку с работоспособными параметрами.
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
rdmdmm.dll - Trojan-Spy.Win32.Goldun.ceo
vncscan.exe_ - Trojan.Win32.Buzus.bdgc
C:\Program Files\QIP\Users\228958453\RcvdFiles\433958240_Машу ля\Surprise.exe - VBA32=Зловред Backdoor.Win32.Cakl.dj; BitDefender=Зловред Application.Joke.Justakiss.B
Добавлено через 7 минут
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vncscan.exe');
DeleteFile('C:\Program Files\QIP\Users\228958453\RcvdFiles\433958240_Машуля\Surprise.exe');
DeleteFile('rdmdmm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы AVZ
И сделайте логи снова, но без работающих винампов/игр/веб-серверов!
Последний раз редактировалось Kuzz; 30.05.2009 в 19:36.
Причина: Добавлено
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM\..\RunServices: [Microsoft] vncscan.exe
O20 - Winlogon Notify: rdmdmm - C:\WINDOWS\
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('i386si');
QuarantineFile('C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe','');
QuarantineFile('vncscan.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('vncscan.exe');
DeleteService('i386si');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('i386si');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как090531_105607_2009-05-31_4a222a0739170.zipРазмер файла216978MD59a412224b00721a2aab57588a961f3d0
Что делать Комп постоянно перезагружается при входе в систему
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
Т.е. Вы опять вернулись к работоспособной конфигурации?
Если да, то там видно КАВ и AVTool. Их самозащита может вредить друг другу.
Деинсталлируйте AVTool
Скачайте этот AVZ
Все дальнейшие действия производите в нем.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uji3mte5.sys','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\Documents and Settings\Главное меню\Программы\Автозагрузка\setup.bat','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('00000E27.sys','');
QuarantineFile('C:\WINDOWS\system32\1028y.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
SetServiceStart('i386si', 4);
DeleteFile('C:\WINDOWS\system32\1028y.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('00000E27.sys');
SetAVZPMStatus(true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторите лог virusinfo_syscure.zip (Cтандартный скрипт №3)
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как 090531_182844_virusinfo_cure_4a22941c7b1ff.zip
Размер файла 111307
MD5 2dae870edd2a88ff1c884d4562db5df7
Удалил все антивирусы, обновил драйвера, все равоно перезагружается, но работает только с работоспособной конфигурацией.
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Kuzz
С удовольствием бы сделал если бы не перезагружался бы комп. И не проводилась автоматическая экспресс проверка бы по 6-7 часов. у меня только на диске С 218 000 файлов открытых без архивов и т.д.. + диск D тоже куча всего а диск G вообще пипеец.
Есть у кого какие догадки? или мне все - винду под чистую удолять?
Последний раз редактировалось Cheba; 01.06.2009 в 22:48.
Причина: Добавлено
-
Давайте попробуем так:
Выполнить:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\Program Files\Intuwave\Shared\mRouterRuntime\m-Router.chm','');
QuarantineFile('C:\Program Files\Apple Software Update\SoftwareUpdate.exe','');
QuarantineFile('C:\WINDOWS\system32\remotepg.dll','');
QuarantineFile('C:\WINDOWS\system32\mstask.dll','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\WINDOWS\system32\iyvu9_32.dll','');
QuarantineFile('C:\WINDOWS\system32\i263_32.drv','');
QuarantineFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_rc.dll','');
QuarantineFile('C:\Program Files\FireDaemon\Core.dll','');
QuarantineFile('C:\WINDOWS\system32\1028y.exe','');
QuarantineFile('C:\WINDOWS\system32\\AstSrv.exe','');
end.
Как написано здесь ищете и копируете файл C:\WINDOWS\system32\drivers\i386si.sys
Добавляете скопированный файл в карантин и присылаете по правилам.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как 090602_095023_2009-06-02_4a24bd9fe6e3f.zip
Размер файла 697500
MD5 394526b9b96d1a13e3e21ba2afcfecb1
Как только я запускаю ту программу комп сразу перезагружается.
Файл - C:\WINDOWS\system32\drivers\i386si.sys в обычнов режиме из под Win Live не нашел.
Последний раз редактировалось Cheba; 02.06.2009 в 10:18.
-
Запросил помощь совета хелперов
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
В общем - Зашел в безопасный режим, отключил всю автозагрузку, все ненужные службы. Перезагрузился, все равно...
Логи чистые.
Перезагружается после сообщения -
Тип события: Уведомление
Источник события: Tcpip6
Категория события: Отсутствует
Код события: 3100
Дата: 01.06.2009
Время: 20:15:11
Пользователь: Н/Д
Компьютер: 79JKH9OJ
Описание:
Запущен драйвер Microsoft IPv6 Developer Edition.
Данные:
0000: 00 00 00 00 01 00 56 00 ......V.
0008: 00 00 00 00 1c 0c 00 40 .......@
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Далее перезагрузка...
НО - Не работает звук! Постоянно надо устанавливать драйвера. Но ибез них тоде перезагружается.
Безопасный работает вот так-
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7026
Дата: 02.06.2009
Время: 10:24:34
Пользователь: Н/Д
Компьютер: 79JKH9OJ
Описание:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
AFD
AsIO
Fips
IPSec
is-E3N38drv
kl1
klbg
KLIF
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
StarOpen
Tcpip
Tcpip6
(Вытащил из-за того что может здесь есть что не нужное)
Вот что еще интересно - Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7028
Дата: 01.06.2009
Время: 21:09:24
Пользователь: Н/Д
Компьютер: 79JKH9OJ
Описание:
В разделе реестра aexrrsdoetf запрещен доступ к программам учетной записи SYSTEM, поэтому владельцем раздела реестра стал диспетчер служб.
На всякий случай
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('i386si');
QuarantineFile('.sys','');
QuarantineFile('00000DC7.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\1028y.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteService('aexrrsdoetf');
QuarantineFile('C:\WINDOWS\system32\drivers\aexrrsdoetf.sys','');
DeleteFile('C:\WINDOWS\system32\1028y.exe');
DeleteFile('00000DC7.sys');
DeleteFile('C:\WINDOWS\system32\drivers\00000DC7.sys');
DeleteFile('.sys');
DeleteService('i386si');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('i386si'');
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(13);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось PavelA; 02.06.2009 в 12:34.
Причина: Добавил еще одного
-
-
Junior Member
- Вес репутации
- 55
5 раз побывал. А смысл? Если все равно работает только при работоспособных параметрах.
Вот скрин который я смог заполучить.
Да и дрова на видюху я переустановил, ведь там вроде об этом тоже речь шла (я про скрин)
Дальше опять только при работоспособных..
жесть какая-то...
прикреплю ка я логи.
Последний раз редактировалось Cheba; 22.03.2010 в 10:32.
-
Сообщение от
Rene-gad
ПОКА НЕ СДЕЛАЕТЕ - БУДЕМ ЖДАТЬ.
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Rene-gad
ПОКА НЕ СДЕЛАЕТЕ - БУДЕМ ЖДАТЬ.
Ладно, тогда всем спасиб! Пока....
p.s
Вайлов с Bonjour нет давно, а в Службах появляется только из-за Восстановления работоспособных, ну это если вы не знаете.
-
Сообщение от
Cheba
Вайлов с Bonjour нет давно, а в Службах появляется только из-за Восстановления работоспособных, ну это если вы не знаете.
Нет, не знаю. Если Бонжур удален правильно, то ничего от него больше не появляется - - не у Вас первого Бонжур удаляем.
-