Из кучи тараканов, осталось 2 неуязвимых
Доброго времени суток.
После переустановки винды и установки антивируса вышел в сеть для обновления. Пока обновлялся, наловил 1462 клеща. NOD32 справился с большей частью из них, но остались и неуязвимые (например: wmsetup.dll, nvmini.sys). Эти паразиты восстанавливаются после перезапуска и возможно рождают ещё кучу других. Заметил на вашем форуме, что вы боролись с данной проблемой.
Очень надеюсь на вашу помощь.
Последний раз редактировалось nick_f1982; 26.06.2009 в 14:22.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('95289393-33EA-4F8D-B952-483415B9C955'); QuarantineFile('C:\WINDOWS\system32\t44y9a553NQ.dll',''); QuarantineFile('C:\WINDOWS\system32\skcfujQ5EDN.dll',''); QuarantineFile('C:\WINDOWS\system32\ntbackup.exe',''); QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll',''); QuarantineFile('C:\WINDOWS\system32\hhnt2pBK.dll',''); QuarantineFile('C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll',''); QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll',''); QuarantineFile('C:\WINDOWS\system32\cRsAQd4hw.dll',''); QuarantineFile('C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll',''); QuarantineFile('C:\WINDOWS\system32\VnTU2WAqUcZA6.dll',''); QuarantineFile('C:\WINDOWS\system32\Va7SpUWgCA5f.dll',''); QuarantineFile('C:\WINDOWS\system32\RV2MbKrHA.dll',''); QuarantineFile('C:\WINDOWS\system32\KnSBC7Rm.dll',''); QuarantineFile('C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll',''); QuarantineFile('C:\WINDOWS\system32\EN7hzSreCat8.dll',''); QuarantineFile('C:\WINDOWS\system32\E4814792.dll',''); QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll',''); QuarantineFile('C:\WINDOWS\system32\A0C86020.dll',''); QuarantineFile('C:\WINDOWS\system32\A1A6BC2E.dll',''); QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll',''); QuarantineFile('C:\WINDOWS\system32\704C3595.dll',''); QuarantineFile('C:\WINDOWS\system32\122B901E.dll',''); QuarantineFile('C:\WINDOWS\system32\08223B03.dll',''); QuarantineFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon',''); QuarantineFile('C:\WINDOWS\fonts\ynysgR5mC.fon',''); QuarantineFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon',''); QuarantineFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon',''); QuarantineFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon',''); QuarantineFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon',''); QuarantineFile('C:\WINDOWS\fonts\bVmwwaC9wK.fon',''); QuarantineFile('C:\WINDOWS\fonts\MqppW9KYn.fon',''); QuarantineFile('C:\WINDOWS\fonts\MbsV2QQJe.fon',''); QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon',''); DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon'); DeleteFile('C:\WINDOWS\fonts\MbsV2QQJe.fon'); DeleteFile('C:\WINDOWS\fonts\MqppW9KYn.fon'); DeleteFile('C:\WINDOWS\fonts\bVmwwaC9wK.fon'); DeleteFile('C:\WINDOWS\system32\08223B03.dll'); DeleteFile('C:\WINDOWS\system32\122B901E.dll'); DeleteFile('C:\WINDOWS\system32\704C3595.dll'); DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll'); DeleteFile('C:\WINDOWS\system32\A1A6BC2E.dll'); DeleteFile('C:\WINDOWS\system32\A0C86020.dll'); DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll'); DeleteFile('C:\WINDOWS\system32\CTFMON.EXE'); DeleteFile('C:\WINDOWS\system32\E4814792.dll'); DeleteFile('C:\WINDOWS\system32\EN7hzSreCat8.dll'); DeleteFile('C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll'); DeleteFile('C:\WINDOWS\system32\KnSBC7Rm.dll'); DeleteFile('C:\WINDOWS\system32\RV2MbKrHA.dll'); DeleteFile('C:\WINDOWS\system32\Va7SpUWgCA5f.dll'); DeleteFile('C:\WINDOWS\system32\VnTU2WAqUcZA6.dll'); DeleteFile('C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll'); DeleteFile('C:\WINDOWS\system32\cRsAQd4hw.dll'); DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll'); DeleteFile('C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll'); DeleteFile('C:\WINDOWS\system32\hhnt2pBK.dll'); DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll'); DeleteFile('C:\WINDOWS\system32\ntbackup.exe'); DeleteFile('C:\WINDOWS\system32\skcfujQ5EDN.dll'); DeleteFile('C:\WINDOWS\system32\t44y9a553NQ.dll'); DeleteFile('C:\Documents and Settings\fedorov_nikolay\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); ExecuteRepair(9); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48733
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал согласно правилам (приложение 3).
Последний раз редактировалось nick_f1982; 26.06.2009 в 14:22.
профиксить:
Посмотрите, плс, этот файл 'C:\WINDOWS\system32\CTFMON.EXE' жив, а то я его по ошибке зацепил.Код:O20 - AppInit_DLLs: C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon,
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Профиксил.
А вот 'C:\WINDOWS\system32\CTFMON.EXE' покоится с миром.
Его можно и нужно восстановить из карантина. Это переключалка языка.
Вот эти все *.fon с непонятными названиями, наверное, от зловреда. Надо будет их
поудалять после получения ответа по карантину.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Очень странно, но его нет в карантине. Весь карантин перерыл, но не нашёл.
Добавлено через 4 минуты
Может его можно загрузить отдельным файлом?
Последний раз редактировалось nick_f1982; 26.06.2009 в 12:17. Причина: Добавлено
Язык с русского на английский переключается? В правом углу на экране есть отображение языка?
По карантину: там все файлы чистые. Сейчас скрипт напишу для зачистки fon-файлов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
C:\WINDOWS\system32\CTFMON.EXE восстановите из его копии C:\WINDOWS\system32\dllcache\CTFMON.EXE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл я восстановил.
А как долго ждать анализы тараканов?
В карантине все файлы чистые
Добавлено через 5 минут
для зачистки:
Потом повторить станд. скрипт №2 и прислать лог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon'); DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon'); DeleteFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon'); DeleteFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon'); DeleteFile('C:\WINDOWS\fonts\ynysgR5mC.fon'); DeleteFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon'); DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось PavelA; 26.06.2009 в 13:31. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Принимайте:
Последний раз редактировалось nick_f1982; 26.06.2009 в 15:22.
Павел, а насколько долго длятся такого рода процедуры, до полного [100%] завершения?
Упустил одного живого.
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\DOCUME~1\FEDORO~1\LOCALS~1\Temp\wmsetup.dll',''); DeleteFile('C:\DOCUME~1\FEDORO~1\LOCALS~1\Temp\wmsetup.dll'); BC_DeleteFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon'); BC_DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon'); BC_DeleteFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon'); BC_DeleteFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon'); BC_DeleteFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon'); BC_DeleteFile('C:\WINDOWS\fonts\ynysgR5mC.fon'); BC_DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48733
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин пуст.
Последний раз редактировалось nick_f1982; 26.06.2009 в 19:31.
[wmsetup.dll], [msgmr.dll], [Framdee.ttf] определяются NOD32 на первых минутах сканирования. NOD32 говорит что они будут удалены после перезапуска, но безрезультатно.
А а/вирус надо отключать во время работы AVZ.
Установите AVZPM в AVZ, перезагрузитесь и сделайте новый комплект логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Прошу прощения за невнимательность.
- отключил брандмауэр
- выгрузил а\вирус
- установил AVZPM
- проверил Dr.Web - ом в безопасном режиме
- выполнил ст. скрипт 1,2
Новые логи:
Последний раз редактировалось nick_f1982; 29.06.2009 в 12:03.
Доброго времени суток.
Хотелось бы закончить начатое. Логи я выложил и после этого компьютер не трогал. Жду ваших указаний.
Более ничего плохого не вижу.
За последний проход AVZ, правда, еще пару грохнул.
Повторите еще разок станд. скрипт №2. и лог пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) nick_f1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
