-
Junior Member
- Вес репутации
- 55
Из кучи тараканов, осталось 2 неуязвимых
Доброго времени суток.
После переустановки винды и установки антивируса вышел в сеть для обновления. Пока обновлялся, наловил 1462 клеща. NOD32 справился с большей частью из них, но остались и неуязвимые (например: wmsetup.dll, nvmini.sys). Эти паразиты восстанавливаются после перезапуска и возможно рождают ещё кучу других. Заметил на вашем форуме, что вы боролись с данной проблемой.
Очень надеюсь на вашу помощь.
Последний раз редактировалось nick_f1982; 26.06.2009 в 14:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('95289393-33EA-4F8D-B952-483415B9C955');
QuarantineFile('C:\WINDOWS\system32\t44y9a553NQ.dll','');
QuarantineFile('C:\WINDOWS\system32\skcfujQ5EDN.dll','');
QuarantineFile('C:\WINDOWS\system32\ntbackup.exe','');
QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll','');
QuarantineFile('C:\WINDOWS\system32\hhnt2pBK.dll','');
QuarantineFile('C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll','');
QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
QuarantineFile('C:\WINDOWS\system32\cRsAQd4hw.dll','');
QuarantineFile('C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll','');
QuarantineFile('C:\WINDOWS\system32\VnTU2WAqUcZA6.dll','');
QuarantineFile('C:\WINDOWS\system32\Va7SpUWgCA5f.dll','');
QuarantineFile('C:\WINDOWS\system32\RV2MbKrHA.dll','');
QuarantineFile('C:\WINDOWS\system32\KnSBC7Rm.dll','');
QuarantineFile('C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll','');
QuarantineFile('C:\WINDOWS\system32\EN7hzSreCat8.dll','');
QuarantineFile('C:\WINDOWS\system32\E4814792.dll','');
QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll','');
QuarantineFile('C:\WINDOWS\system32\A0C86020.dll','');
QuarantineFile('C:\WINDOWS\system32\A1A6BC2E.dll','');
QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll','');
QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
QuarantineFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon','');
QuarantineFile('C:\WINDOWS\fonts\ynysgR5mC.fon','');
QuarantineFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon','');
QuarantineFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon','');
QuarantineFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon','');
QuarantineFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon','');
QuarantineFile('C:\WINDOWS\fonts\bVmwwaC9wK.fon','');
QuarantineFile('C:\WINDOWS\fonts\MqppW9KYn.fon','');
QuarantineFile('C:\WINDOWS\fonts\MbsV2QQJe.fon','');
QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
DeleteFile('C:\WINDOWS\fonts\MbsV2QQJe.fon');
DeleteFile('C:\WINDOWS\fonts\MqppW9KYn.fon');
DeleteFile('C:\WINDOWS\fonts\bVmwwaC9wK.fon');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
DeleteFile('C:\WINDOWS\system32\704C3595.dll');
DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
DeleteFile('C:\WINDOWS\system32\A1A6BC2E.dll');
DeleteFile('C:\WINDOWS\system32\A0C86020.dll');
DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll');
DeleteFile('C:\WINDOWS\system32\CTFMON.EXE');
DeleteFile('C:\WINDOWS\system32\E4814792.dll');
DeleteFile('C:\WINDOWS\system32\EN7hzSreCat8.dll');
DeleteFile('C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll');
DeleteFile('C:\WINDOWS\system32\KnSBC7Rm.dll');
DeleteFile('C:\WINDOWS\system32\RV2MbKrHA.dll');
DeleteFile('C:\WINDOWS\system32\Va7SpUWgCA5f.dll');
DeleteFile('C:\WINDOWS\system32\VnTU2WAqUcZA6.dll');
DeleteFile('C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll');
DeleteFile('C:\WINDOWS\system32\cRsAQd4hw.dll');
DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
DeleteFile('C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll');
DeleteFile('C:\WINDOWS\system32\hhnt2pBK.dll');
DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll');
DeleteFile('C:\WINDOWS\system32\ntbackup.exe');
DeleteFile('C:\WINDOWS\system32\skcfujQ5EDN.dll');
DeleteFile('C:\WINDOWS\system32\t44y9a553NQ.dll');
DeleteFile('C:\Documents and Settings\fedorov_nikolay\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48733
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Логи
Карантин выслал согласно правилам (приложение 3).
Последний раз редактировалось nick_f1982; 26.06.2009 в 14:22.
-
профиксить:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon,
Посмотрите, плс, этот файл 'C:\WINDOWS\system32\CTFMON.EXE' жив, а то я его по ошибке зацепил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Профиксил.
А вот 'C:\WINDOWS\system32\CTFMON.EXE' покоится с миром.
-
Его можно и нужно восстановить из карантина. Это переключалка языка.
Вот эти все *.fon с непонятными названиями, наверное, от зловреда. Надо будет их
поудалять после получения ответа по карантину.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Очень странно, но его нет в карантине. Весь карантин перерыл, но не нашёл.
Добавлено через 4 минуты
Может его можно загрузить отдельным файлом?
Последний раз редактировалось nick_f1982; 26.06.2009 в 12:17.
Причина: Добавлено
-
Язык с русского на английский переключается? В правом углу на экране есть отображение языка?
По карантину: там все файлы чистые. Сейчас скрипт напишу для зачистки fon-файлов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
C:\WINDOWS\system32\CTFMON.EXE восстановите из его копии C:\WINDOWS\system32\dllcache\CTFMON.EXE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Файл я восстановил.
А как долго ждать анализы тараканов?
-
В карантине все файлы чистые
Добавлено через 5 минут
для зачистки:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon');
DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon');
DeleteFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon');
DeleteFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon');
DeleteFile('C:\WINDOWS\fonts\ynysgR5mC.fon');
DeleteFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon');
DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Потом повторить станд. скрипт №2 и прислать лог.
Последний раз редактировалось PavelA; 26.06.2009 в 13:31.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось nick_f1982; 26.06.2009 в 15:22.
-
Junior Member
- Вес репутации
- 55
Павел, а насколько долго длятся такого рода процедуры, до полного [100%] завершения?
-
Упустил одного живого.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\FEDORO~1\LOCALS~1\Temp\wmsetup.dll','');
DeleteFile('C:\DOCUME~1\FEDORO~1\LOCALS~1\Temp\wmsetup.dll');
BC_DeleteFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon');
BC_DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon');
BC_DeleteFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon');
BC_DeleteFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon');
BC_DeleteFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon');
BC_DeleteFile('C:\WINDOWS\fonts\ynysgR5mC.fon');
BC_DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48733
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Логи
Карантин пуст.
Последний раз редактировалось nick_f1982; 26.06.2009 в 19:31.
-
Junior Member
- Вес репутации
- 55
[wmsetup.dll], [msgmr.dll], [Framdee.ttf] определяются NOD32 на первых минутах сканирования. NOD32 говорит что они будут удалены после перезапуска, но безрезультатно.
-
А а/вирус надо отключать во время работы AVZ.
Установите AVZPM в AVZ, перезагрузитесь и сделайте новый комплект логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Прошу прощения за невнимательность.
- отключил брандмауэр
- выгрузил а\вирус
- установил AVZPM
- проверил Dr.Web - ом в безопасном режиме
- выполнил ст. скрипт 1,2
Новые логи:
Последний раз редактировалось nick_f1982; 29.06.2009 в 12:03.
-
Junior Member
- Вес репутации
- 55
Доброго времени суток.
Хотелось бы закончить начатое. Логи я выложил и после этого компьютер не трогал. Жду ваших указаний.
-
Более ничего плохого не вижу.
За последний проход AVZ, правда, еще пару грохнул.
Повторите еще разок станд. скрипт №2. и лог пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-