Проблема с машиной - выдает эту ошибку при попытке запуска некоторых приложений. также не запускался обычный AVZ, воспользовался полиморфным.
Логи прилагаются.
Проблема с машиной - выдает эту ошибку при попытке запуска некоторых приложений. также не запускался обычный AVZ, воспользовался полиморфным.
Логи прилагаются.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vbtenum.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys',''); QuarantineFile('C:\WINDOWS\system32\rgadtm.dll',''); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_ImportAll; ExecuteSysClean; SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи.
скрипт выполнил, после него на следующей перезагрузке Windows выдал ошибку winlogon, по перезагрузке прогрузился нормально, при запуске скрипта на лечение и сбор информации avz завис намертво. перезагрузился - виндоус теперь не реагирует на команды о перезагрузке и выключении, AVZ не запускается, в списке процессов появляется, но окна программы нет. речь идет о полиморфной версии.
понял почему зависает все - загрузка ЦП показывается 100%. сейчас вроде удалось AVZ запустить, посмотрю, получится ли выполнить проверку скриптовую.
Последний раз редактировалось Straighthate; 07.09.2009 в 15:00.
Попробуйте загрузиться в безопасном режиме. Скриптом был прибит только зловред, остальные файлы только копировались в карантин, поэтому нужны новые логи.
в безопасном режиме AVZ виснет на стадии поиска кейлоггеров
Добавлено через 7 минут
закачал карантин.
Последний раз редактировалось Straighthate; 07.09.2009 в 18:18. Причина: Добавлено
утилитой CureIT! в безопасном режиме было найдено это.
после этого AVZ нормально запустился в обычном режиме работы Windows, прикладываю логи AVZ и Gmer.blueletaudio.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
blueletscoaudio.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
btcusb.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
bthidmgr.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
vbtenum.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
vcomm.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
vcommmgr.sys c:\windows\system32\drivers Trojan.PWS.GoldSpy.2793 Удален.
rgadta.sys c:\windows\system32 Trojan.PWS.GoldSpy.2793 Удален.
rgadtm.dll c:\windows\system32 Trojan.PWS.GoldSpy.2793 Удален.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\drivers\kbiwkmdfrfgfan.sys',''); DeleteFile('c:\windows\system32\drivers\kbiwkmdfrfgfan.sys'); QuarantineFile('c:\windows\system32\kbiwkmrhsnkfwr.dll',''); DeleteFile('c:\windows\system32\kbiwkmrhsnkfwr.dll'); QuarantineFile('c:\windows\system32\kbiwkmucnlcrsl.dll',''); DeleteFile('c:\windows\system32\kbiwkmucnlcrsl.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gm.exe (gmer)
И запустите cleanup.batКод:gm.exe -del service kbiwkmnevtlxka gm.exe -del file "c:\windows\system32\drivers\kbiwkmdfrfgfan.sys" gm.exe -del file "c:\windows\system32\kbiwkmrhsnkfwr.dll" gm.exe -del file "c:\windows\system32\kbiwkmntwofrpy.dat" gm.exe -del file "c:\windows\system32\kbiwkmucnlcrsl.dll" gm.exe -del file "c:\windows\system32\kbiwkmyyekbejj.dat" gm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet016\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet018\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet019\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet020\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet021\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet022\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet023\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet024\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet025\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet026\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet027\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet028\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet029\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet030\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet031\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet032\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet033\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet034\Services\kbiwkmnevtlxka" gm.exe -del reg "HKLM\SYSTEM\ControlSet036\Services\kbiwkmnevtlxka" gm.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новый лог Gmer прилагаю.
карантин залил(virus2.zip)
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\rgadta.sys',''); DeleteService('rgadta'); DeleteFile('C:\WINDOWS\system32\rgadta.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи обычным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
скрипт выполнил, логи сделал, карантин залил =)
первый раз, когда делал лог обычным AVZ, Windows завис, правда :/
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
Зачистка прошла успешно.
Как самочувствие?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
3дмарк летает ) ошибки больше не вылезают ) на остальное посмотрим.
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\vbtenum.sys - Rootkit.Win32.Agent.pqv ( DrWEB: Trojan.PWS.GoldSpy.2793, BitDefender: Rootkit.25030, AVAST4: Win32:Haxdoor-KI [Rtk] )
- c:\windows\system32\rgadtm.dll - Trojan-Spy.Win32.Goldun.crt ( DrWEB: Trojan.PWS.GoldSpy.2793, BitDefender: Trojan.Spy.Goldun.NCN, AVAST4: Win32:Spyware-gen [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Straighthate, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.