-
Junior Member
- Вес репутации
- 54
Комп жутко тормозил
Cureit удалил множество троянов, но AVZ пишет о проблемах:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->035291
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->0352F6
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->03525F
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->0353AA
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:GetClipboardData (258) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D50D9A->03566F
Функция user32.dll:TranslateMessage (683) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D38C06->035919
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->03D7E1
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->03D808
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->63017353->03C955
Функция wininet.dll:HttpQueryInfoW (208) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301FB3E->03C9A4
Функция wininet.dll:HttpSendRequestA (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->6302E822->03D211
Функция wininet.dll:HttpSendRequestExA (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->6308A9EE->03D2F0
Функция wininet.dll:HttpSendRequestExW (211) перехвачена, метод ProcAddressHijack.GetProcAddress ->6308AA47->03D2D3
Функция wininet.dll:HttpSendRequestW (212) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301F73E->03D1F4
Функция wininet.dll:InternetCloseHandle (225) перехвачена, метод ProcAddressHijack.GetProcAddress ->63020A61->03CDCE
Функция wininet.dll:InternetQueryDataAvailable (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301FEB1->03CF93
Функция wininet.dll:InternetReadFile (277) перехвачена, метод ProcAddressHijack.GetProcAddress ->6301AC9D->03CF3A
Функция wininet.dll:InternetReadFileExA (278) перехвачена, метод ProcAddressHijack.GetProcAddress ->630337B6->03CF75
Функция wininet.dll:InternetReadFileExW (279) перехвачена, метод ProcAddressHijack.GetProcAddress ->6303377E->03CF57
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "gbuimoo"
Последний раз редактировалось GRomaN; 18.11.2009 в 00:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\msupdt.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\msupdt.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\msupdt.exe,
Сделайте лог GMER по правилам - http://virusinfo.info/showthread.php?t=40118
Повторите логи.
-
-
Junior Member
- Вес репутации
- 54
пофиксить не смог, так как такой строки не было
Последний раз редактировалось GRomaN; 18.11.2009 в 00:32.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 4kgytwm0.exe (gmer)
Код:
4kgytwm0.exe -del file "C:\WINDOWS\system32\qglvxxdz.dll"
4kgytwm0.exe -del file "C:\WINDOWS\system32\qmgr.dll"
4kgytwm0.exe -del service gbuimoo
4kgytwm0.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gbuimoo"
4kgytwm0.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gbuimoo"
4kgytwm0.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\gbuimoo"
4kgytwm0.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\gbuimoo"
4kgytwm0.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится. Заплатки, рекомндованные здесь http://www.kaspersky.ru/support/wks6...?qid=208636215 установите. Лог Gmer повторите
-
-
Junior Member
- Вес репутации
- 54
в протоколе AVZ вроде ничего подозрительного!
нужно ли присылать его логи???
Последний раз редактировалось GRomaN; 18.11.2009 в 00:32.
-
Да, пришлите для контроля.
P.S. По гмеру чисто.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось GRomaN; 18.11.2009 в 00:33.
-
Чисто. Проблемы наблюдаются?
-
-
Junior Member
- Вес репутации
- 54
да все ок! всем спасибо! я думаю можно закрывать тему!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\msupdt.exe - Backdoor.Win32.Donbot.b ( DrWEB: Trojan.Siggen.7854, BitDefender: Application.Generic.248035, AVAST4: Win32:Bifrose-EHR [Trj] )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acqb
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-