Junior Member
Вес репутации
55
Всё началось с Backdoor.tdss.119; сейчас не загружается антивирус.
Приветсвую,
После залёта на Backdoor.tdss.119 доктор веб отключился. CureIt нашел зараженные файлы autorun.inf и по одному файлу с длинным названием в папке Recycled на каждом логическом диске. Это дело вылечилось, но антивирус по-прежнему не работает. В итоге Др.Веб снес и установил Касперского. Этот тоже сначала не запускался, но после переименовывания avp.exe в game.exe антивирус запустился. Правда толку мало, т.к. базы старые и обновить их невозможно (жму на кнопку обновления, но ничего не происходит). Скачал updater.exe, запустил его и он к себе все обновления закачал (60Мб). Настроил в Касперском обновление из локальной папки, но и это не помогло.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll','');
QuarantineFile('D:\WINDOWS\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys','');
DeleteFile('D:\WINDOWS\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys');
DeleteFile('D:\WINDOWS\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll');
DeleteFile('D:\WINDOWS\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll');
BC_ImportaLl;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=47089
Повторите логи по правилам.
Junior Member
Вес репутации
55
Карантин отправил. Логи в аттаче.
И еще вот что не могу решить, но не знаю - связано ли с вирусом или нет. После заражения перестал запускаться локально apache. Переустанавливал уже несколько раз. Не помогает. В логе пишет:
[Wed Jun 03 23:43:20 2009] [crit] (2)The system cannot find the file specified: Parent: Unable to create null output pipe for child process.\n
[Wed Jun 03 23:43:20 2009] [error] (2)No such file or directory: master_main: create child process failed. Exiting.
Вложения
Последний раз редактировалось Rene-gad; 03.06.2009 в 19:41 .
Лог Gmer сделайте. Как смотреть в "Чаво"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Вложения
Сохранить код, как gm.bat в папке, где лежит Gmer.exe
Код:
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@start 1
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@type 1
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@group file system
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll
gmer -del Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcjerrvtrjmgveqdviecjljgabdwrwlhrj.dll
gmer -del Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcfhjfxuybgbstolghpjhlonnvlcccggdt.dll
gmer -del Service 'gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys'
gmer -del File 'C:\windows\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys'
gmer -reboot
Запустить. После перезагрузки повторить лог Gmer.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Вложения
В Gmer найти и удалить:
Код:
system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
После этого повторить лог Гмера.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Гмер не ругается, но Апач по-прежнему не запускается. Есть какие-нибудь предположения на этот счет? У меня мозг щас взорвется.
Вложения
Еще разок вот такой bat-файл надо сделать и выполнить.
Код:
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@start 1
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@type 1
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcxqfhqmbrqmtjsuquoebpolcfrlxempum.sys
gmer -del Reg HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys@group file system
После перезагрузки повторить логи AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Вложения
Junior Member
Вес репутации
55
Поставил SP3 и апач заработал.
Больше вопросов нет.
Благодарствую за помощь!
Junior Member
Вес репутации
55
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены