Только отвлекся и тут же куча троянов инфицировала ОС.
Теперь даже антивирус блокируют.
Только отвлекся и тут же куча троянов инфицировала ОС.
Теперь даже антивирус блокируют.
Последний раз редактировалось dragon772; 01.12.2009 в 11:21.
Отключите восстановление системы!!!Восстановление системы: включено
Пофиксить в Hijack следующие строки:
выполнить скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,C:\WINDOWS\system32\sdra64.exe,
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\activedsx.dll',''); QuarantineFile('C:\WINDOWS\system32\tcdef.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\5ncsdwuf.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\aiog48do.SYS',''); QuarantineFile('C:\Program Files\cjwnsuowjgmfdhz\jbqbuvipleyt.exe',''); DeleteService('bqjyweajvr'); QuarantineFile('C:\Program Files\bqswzzborhcgwwv\iiuksbditeoc.exe',''); DeleteService('bwfhvrnbvs'); QuarantineFile('C:\WINDOWS\system32\dtesm.exe',''); DeleteService('dteno'); QuarantineFile('C:\WINDOWS\system32\esanp.exe',''); DeleteService('esanp'); QuarantineFile('C:\Program Files\iwlmzgdkpz\oofaahfdqohhfbz.exe',''); DeleteService('hlyxdypxtbseh'); QuarantineFile('C:\Program Files\isomulqmcx\pkirvmkgeuoojar.exe',''); DeleteService('ihcxxvczohadk'); QuarantineFile('C:\Program Files\kfgnckvrrufab\rxzavlxttj.exe',''); DeleteService('jmtyyuhm'); QuarantineFile('C:\Program Files\kyrklyqvcyoh\rqlqmaswev.exe',''); DeleteService('jnevorcpoiutcer'); QuarantineFile('C:\WINDOWS\system32\jtesm.exe',''); DeleteService('jtesm'); QuarantineFile('C:\Program Files\lljwviraxt\sddjwjlbhqfgrik.exe',''); DeleteService('lawhzadujdrdt'); QuarantineFile('C:\Program Files\oowshpxetk\vopfjqrxvzrecyq.exe',''); DeleteService('ndjclhkqfmcbe'); QuarantineFile('C:\WINDOWS\system32\osanp.exe',''); DeleteService('osanp'); QuarantineFile('C:\Program Files\pkcopakudap\wddtibdn.exe',''); DeleteService('pzxykswhpdnzjy'); QuarantineFile('C:\Program Files\ruloktcwrghs\xmeuluwpt.exe',''); DeleteService('qjyznlojdjfdnxx'); QuarantineFile('C:\Program Files\yfhrfaolbcyj\fyawgcqnl.exe',''); DeleteService('qmucisagnewuvcm'); QuarantineFile('C:\WINDOWS\system32\qsanp.exe',''); DeleteService('qsanp'); QuarantineFile('C:\WINDOWS\system32\otesm.exe',''); DeleteService('qteno'); QuarantineFile('C:\Program Files\Intel\wgxczskznflam.EXE',''); DeleteService('Risbtuyaattk'); QuarantineFile('C:\WINDOWS\system32\3com_dmij.exe',''); DeleteService('RpcSsProtectedStorage'); QuarantineFile('C:\Program Files\rtdnkvuqogddtv\yleslxvrqdq.exe',''); DeleteService('rzyxnngla'); QuarantineFile('C:\Program Files\tsefnfyovcl\akfkphah.exe',''); DeleteService('sgrqrxkaafjtdi'); QuarantineFile('C:\Program Files\bbyzzhvi\itsebjxbebdzn.exe',''); DeleteService('sqljvzhugho'); QuarantineFile('C:\WINDOWS\system32\stesm.exe',''); DeleteService('steno'); QuarantineFile('C:\Program Files\duhxqtwoy\kmjksvyhajgzyzt.exe',''); DeleteService('viviuljbdwroa'); QuarantineFile('C:\Program Files\xphsjpwbkdvm\epaykyqul.exe',''); DeleteService('wdudmhiowotxnee'); QuarantineFile('C:\WINDOWS\system32\wqtesm.exe',''); DeleteService('wqtesm'); DeleteService('xrfkmywmtp'); QuarantineFile('C:\Program Files\xkszjgkrhfxdqwu\eclmkimticja.exe',''); QuarantineFile('C:\WINDOWS\system32\yasnp.exe',''); DeleteService('yasnp'); QuarantineFile('C:\Program Files\ysxnooxsp\fkrtppzlzjqsig.exe',''); DeleteService('yzkysgjfcwcp'); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\secpol.exe',''); QuarantineFile('FileKan.exe',''); QuarantineFile('SocksA.exe',''); QuarantineFile('fsmgmt.dll',''); DelBHO('{F26DC028-723B-421E-B22A-BF553EFB82CF}'); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\AdhocAPI.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\binkw32.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\dbghelp.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\InputWrap.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\LaptopGaming_vista.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\LaptopGaming_xp.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\libsigc-2.0.17.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\memmgr.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\mss32.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\namegen.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\NxCooking.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\orcSystem.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\plugin_filezip.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\plugin_miles.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\plugin_openal.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\plugin_particlefx.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\plugin_theora.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\plugin_win32platform.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\revoke.exe.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2core.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2editor.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2gs.exe.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2logic.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2logicai.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2logicdll.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2render.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\s2vista.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\sacred2.exe.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\stlport.5.0.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temp\_ir_vp2_temp_0\Backup\zlib1.dll.bak',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\1GSJL1ST\WLoader[7].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\2CIR98EQ\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\4VF3YWT5\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\65FG1KBQ\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\A1HUNQXG\WLoader[3].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\BPQSHB4R\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\HWH5V8UK\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\I5RO5W7M\WLoader[8].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\JIGZ3H89\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\KOMPUWE8\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\LBFJDPWE\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\MGC711WD\WLoader[2].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\P0KBL9S9\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\SVBN2KP5\WLoader[7].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\SVBN2KP5\WLoader[8].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\SVBN2KP5\WLoader[9].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\VJDJ710S\WLoader[8].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\WZLBIM71\WLoader[1].exe',''); QuarantineFile('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5\ZRLJV5OW\WLoader[1].exe',''); QuarantineFile('C:\Rise of the Argonauts\Binaries\LiquidGame.com',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\odbc16ht.dll',''); DeleteFile('C:\autorun.inf'); DeleteFileMask('C:\Documents and Settings\vadim\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); DeleteFileMask('C:\Documents and Settings\vadim\Local Settings\Temp','*.*',true); DeleteFile('C:\WINDOWS\system32\odbc16ht.dll'); DeleteFile('C:\WINDOWS\system32\secpol.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFileMask('C:\Program Files\ysxnooxsp','*.*',true); DeleteFile('C:\WINDOWS\system32\yasnp.exe'); DeleteFileMask('C:\Program Files\xkszjgkrhfxdqwu','*.*',true); DeleteFile('C:\WINDOWS\system32\wqtesm.exe'); DeleteFileMask('C:\Program Files\xphsjpwbkdvm','*.*',true); DeleteFileMask('C:\Program Files\duhxqtwoy','*.*',true); DeleteFile('C:\WINDOWS\system32\stesm.exe'); DeleteFileMask('C:\Program Files\bbyzzhvi','*.*',true); DeleteFileMask('C:\Program Files\tsefnfyovcl','*.*',true); DeleteFileMask('C:\Program Files\rtdnkvuqogddtv','*.*',true); DeleteFile('C:\WINDOWS\system32\3com_dmij.exe'); DeleteFile('C:\Program Files\Intel\wgxczskznflam.EXE'); DeleteFile('C:\WINDOWS\system32\otesm.exe'); DeleteFile('C:\WINDOWS\system32\qsanp.exe'); DeleteFileMask('C:\Program Files\yfhrfaolbcyj','*.*',true); DeleteFileMask('C:\Program Files\ruloktcwrghs','*.*',true); DeleteFileMask('C:\Program Files\pkcopakudap','*.*',true); DeleteFile('C:\WINDOWS\system32\osanp.exe'); DeleteFileMask('C:\Program Files\oowshpxetk','*.*',true); DeleteFileMask('C:\Program Files\lljwviraxt','*.*',true); DeleteFile('C:\WINDOWS\system32\jtesm.exe'); DeleteFileMask('C:\Program Files\kyrklyqvcyoh','*.*',true); DeleteFileMask('C:\Program Files\kfgnckvrrufab','*.*',true); DeleteFileMask('C:\Program Files\isomulqmcx','*.*',true); DeleteFileMask('C:\Program Files\iwlmzgdkpz','*.*',true); DeleteFile('C:\WINDOWS\system32\esanp.exe'); DeleteFile('C:\WINDOWS\system32\dtesm.exe'); DeleteFileMask('C:\Program Files\bqswzzborhcgwwv','*.*',true); DeleteFileMask('C:\Program Files\cjwnsuowjgmfdhz','*.*',true); DeleteFile('C:\WINDOWS\system32\activedsx.dll'); DeleteFile('C:\WINDOWS\system32\fsmgmt.dll'); DeleteFile('C:\WINDOWS\system32\SocksA.exe'); DeleteFile('C:\WINDOWS\system32\FileKan.exe); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(5); Executerepair(8); Executerepair(9); BC_Activate; RebootWindows(true); end.
затем следующий
Повторите логи и прикрепите к новому сообщениюКод:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Последний раз редактировалось Шапельский Александр; 10.11.2009 в 20:00.
ОС загружается только в безопасном режиме.
Последний раз редактировалось dragon772; 01.12.2009 в 11:22.
Пофиксить в HijackThis
Выполните скрипт в avzКод:O21 - SSODL: UpdateCheck - {63B3F06A-AC4E-4F35-999A-9271A8BA2EF6} - (no file)
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('5l5vv6yy.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\5ncsdwuf.sys',''); QuarantineFile('C:\WINDOWS\system32\libusbd-nt.exe',''); DeleteService('bqjyweajvr'); DeleteService('bwfhvrnbvs'); DeleteService('gerbassmn'); DeleteService('hlyxdypxtbseh'); DeleteService('ihcxxvczohadk'); DeleteService('jmtyyuhm'); DeleteService('jnevorcpoiutcer'); DeleteService('lawhzadujdrdt'); DeleteService('ndjclhkqfmcbe'); DeleteService('pzxykswhpdnzjy'); DeleteService('qjyznlojdjfdnxx'); DeleteService('qmucisagnewuvcm'); DeleteService('rzyxnngla'); DeleteService('sgrqrxkaafjtdi'); DeleteService('sqljvzhugho'); DeleteService('viviuljbdwroa'); DeleteService('wdudmhiowotxnee'); DeleteService('xrfkmywmtp'); DeleteService('yzkysgjfcwcp'); DeleteFile('C:\Program Files\cjwnsuowjgmfdhz\jbqbuvipleyt.exe'); DeleteFile('C:\Program Files\bqswzzborhcgwwv\iiuksbditeoc.exe'); DeleteFile('C:\Program Files\iwlmzgdkpz\oofaahfdqohhfbz.exe'); DeleteFile('C:\Program Files\isomulqmcx\pkirvmkgeuoojar.exe'); DeleteFile('C:\Program Files\kfgnckvrrufab\rxzavlxttj.exe'); DeleteFile('C:\Program Files\kyrklyqvcyoh\rqlqmaswev.exe'); DeleteFile('C:\Program Files\lljwviraxt\sddjwjlbhqfgrik.exe'); DeleteFile('C:\Program Files\oowshpxetk\vopfjqrxvzrecyq.exe'); DeleteFile('C:\Program Files\pkcopakudap\wddtibdn.exe'); DeleteFile('C:\Program Files\ruloktcwrghs\xmeuluwpt.exe'); DeleteFile('C:\Program Files\yfhrfaolbcyj\fyawgcqnl.exe'); DeleteFile('C:\Program Files\rtdnkvuqogddtv\yleslxvrqdq.exe'); DeleteFile('C:\Program Files\tsefnfyovcl\akfkphah.exe'); DeleteFile('C:\Program Files\bbyzzhvi\itsebjxbebdzn.exe'); DeleteFile('C:\Program Files\duhxqtwoy\kmjksvyhajgzyzt.exe'); DeleteFile('C:\Program Files\xphsjpwbkdvm\epaykyqul.exe'); DeleteFile('C:\Program Files\xkszjgkrhfxdqwu\eclmkimticja.exe'); DeleteFile('C:\Program Files\ysxnooxsp\fkrtppzlzjqsig.exe'); DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
avz-файл-просмотр карантина-восстановите файл C:\WINDOWS\system32\activedsx.dll
Сделайте новые логи.
Последний раз редактировалось snifer67; 11.11.2009 в 16:40.
Результат загрузки
Файл сохранён как 091111_173301_virus_4afacb1d52494.zip
Размер файла 10334
MD5 88794e574d9144e83e2afe363ab158d4
Файл закачан, спасибо
Файла C:\WINDOWS\system32\activedsx.dll нет в карантине!!!
Последний раз редактировалось dragon772; 01.12.2009 в 11:22.
Venus Doom,
Пофиксил!
При нормальной загрузке ОС,только курсор нервно мигает,в центре экрана,в течении 5 минут,а затем уходишь в перезагрузку.
Выполнить скрипт
ОтпишитесьКод:begin ExecuteWizard('TSW', 2, 2, true); RebootWindows(false); end.
Ура! ОС запустилась! Новый логи выложить???
activedsx.dll не путать с activeds.dll
Для проверки сделайте новые логи
Новые логи...
Последний раз редактировалось dragon772; 01.12.2009 в 11:21.
Выполните скрипт в avz
Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('5ncsdwuf.dll',''); QuarantineFile('C:\WINDOWS\system32\Hers.dll',''); QuarantineFile('C:\WINDOWS\system32\Miekcsr.exe',''); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Огромное спасибо!
После тестировании компа,разными антивирусами,всё стало чисто.
Тему можно закрывать.
Последний раз редактировалось dragon772; 16.11.2009 в 14:16.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\5ncsdwuf.sys - Trojan-GameThief.Win32.WOW.ikk ( DrWEB: Trojan.NtRootKit.3158, BitDefender: Trojan.Generic.IS.592639, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) dragon772, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.