Помогите долечить комп

**Vlan** · 15.11.2009, 19:31

Привет всем! На компе сидела куча всяких разнообразных вирусов, кое что смог очистить сам, но зараза осталась. Никак не могу избавится от службы termina.exe и наверняка еще что то зловредное сидит. Помогите, пожалуйста одолеть заразу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 15.11.2009, 20:47

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 DelBHO('{284D86B1-F838-4d38-B546-74D40595316D}');
 DelBHO('{16936DCC-E13D-48c4-9B38-64666E52D898}');
 QuarantineFile('C:\WINDOWS\system32\cl29.dll','');
 QuarantineFile('C:\WINDOWS\system32\jzusq5.dll','');
 QuarantineFile('c:\windows\system32\rpcss.dll','');
 QuarantineFile('C:\WINDOWS\system32\s.exe','');
 QuarantineFile('C:\WINDOWS\system32\fwNvwdshYyu.dll','');
 QuarantineFile('C:\WINDOWS\system32\begcKjIHhwb.dll','');
 QuarantineFile('C:\WINDOWS\system32\RvmctvC.dll','');
 QuarantineFile('C:\WINDOWS\system32\RamrtqC.dll','');
 QuarantineFile('C:\WINDOWS\system32\Termina.exe','');
 DeleteService('Widcddsfrv');
 QuarantineFile('C:\WINDOWS\system32\BHY93CLASC\D001.exe','');
 DeleteService('uj');
 QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\G001.exe','');
 DeleteService('tdrhg');
 QuarantineFile('C:\WINDOWS\system32\ujbue.exe','');
 DeleteService('rdf');
 QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\P001.exe','');
 DeleteService('NationalSer1.31');
 QuarantineFile('C:\WINDOWS\system32\Yfdsba.exe','');
 DeleteService('msssdsseo');
 QuarantineFile('C:\WINDOWS\system32\JDQC1CRQ8U\E001.exe','');
 DeleteService('gsg');
 QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\F001.exe','');
 DeleteService('fef');
 QuarantineFile('C:\WINDOWS\feafvxx.exe','');
 DeleteService('feaf');
 QuarantineFile('C:\WINDOWS\dsfs.exe','');
 DeleteService('dsafds');
 QuarantineFile('C:\WINDOWS\system32\uprqa.exe','');
 DeleteService('cs1.5');
 QuarantineFile('C:\WINDOWS\system32\svvsm.exe','');
 DeleteService('cs1.4');
 QuarantineFile('C:\WINDOWS\system32\imciu.exe','');
 DeleteService('cs1.3');
 QuarantineFile('C:\WINDOWS\system32\46LUFN7QAM\G001.exe','');
 DeleteService('bdsfg');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 DeleteService('BackGround Switch');
 QuarantineFile('C:\WINDOWS\Ati2evxx.exe','');
 DeleteService('Ati2evxx');
 QuarantineFile('C:\WINDOWS\system32\IEUZCPLNML\I.exe','');
 DeleteService('Alerters');
 QuarantineFile('C:\WINDOWS\System32\AdvanceLink\smss.exe','');
 DeleteService('AdvanceLink');
 QuarantineFile('c:\windows\system32\lang\igcllzuigt.dll','');
 QuarantineFile('C:\WINDOWS\system32\gz29050.dll','');
 QuarantineFile('c:\Progra~1\mhzx\tlmhzx1031.dll','');
 QuarantineFile('c:\documents and settings\local user\userdata.dll','');
 DeleteFile('C:\WINDOWS\System32\AdvanceLink\smss.exe');
 DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\I.exe');
 DeleteFile('C:\WINDOWS\Ati2evxx.exe');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 DeleteFile('C:\WINDOWS\system32\46LUFN7QAM\G001.exe');
 DeleteFile('C:\WINDOWS\system32\imciu.exe');
 DeleteFile('C:\WINDOWS\system32\svvsm.exe');
 DeleteFile('C:\WINDOWS\system32\uprqa.exe');
 DeleteFile('C:\WINDOWS\dsfs.exe');
 DeleteFile('C:\WINDOWS\feafvxx.exe');
 DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\F001.exe');
 DeleteFile('C:\WINDOWS\system32\JDQC1CRQ8U\E001.exe');
 DeleteFile('C:\WINDOWS\system32\Yfdsba.exe');
 DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\P001.exe');
 DeleteFile('C:\WINDOWS\system32\ujbue.exe');
 DeleteFile('C:\WINDOWS\system32\IEUZCPLNML\G001.exe');
 DeleteFile('C:\WINDOWS\system32\BHY93CLASC\D001.exe');
 DeleteFile('C:\WINDOWS\system32\Termina.exe');
 DeleteFile('C:\WINDOWS\system32\RamrtqC.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\RvmctvC.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\123\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\begcKjIHhwb.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuduoServic\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\fwNvwdshYyu.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AudgoServic\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\s.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile');
 DeleteFile('c:\Progra~1\mhzx\tlmhzx1031.dll');
 DeleteFile('c:\windows\system32\lang\igcllzuigt.dll');
 DeleteFile('C:\WINDOWS\system32\gz29050.dll');
 DeleteFile('C:\WINDOWS\system32\jzusq5.dll');
 DeleteFile('C:\WINDOWS\system32\cl29.dll');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

**Vlan** · 15.11.2009, 20:53

Благодарю Вас за помощь. Одна проблема, я не могу скачать gmer, браузер говорит страница недоступна.

**thyrex** · 15.11.2009, 20:59

Сообщение от Vlan

я не могу скачать gmer, браузер говорит страница недоступна.

Попробуйте скачать после выполнения скрипта

**Vlan** · 15.11.2009, 21:41

Карантин прикрепил, логи повторяю. Gmer пытался скачать со здоровой машины, результат тот же - страница недоступна.

**thyrex** · 15.11.2009, 22:21

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\9fe2a.dll','');
 DeleteFile('C:\WINDOWS\system32\gz29050.dll');
 DeleteFile('c:\windows\system32\rpcss.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DcomLaunch\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RpcSs\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\9fe2a.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\NetGeek\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сообщение от Vlan

Gmer пытался скачать со здоровой машины,

Файл во вложении

Дополнительно проверьтесь http://www.secureblog.info/articles/597.html

**Vlan** · 16.11.2009, 17:35

Карантин, что то не получается у меня прикрепить, говорит данный файл уже загружен. Логи повторяю. Утилита TDSSKiller ничего не нашла. Компу что то все хуже и хуже, теперь он перестал копировать файлы и в панели задач не показывает что в данный момент открыто.

**Vlan** · 16.11.2009, 17:54

Прошу прощения, карантин прикрепил, по запаре пытался прицепить первый файл карантина.

**thyrex** · 16.11.2009, 22:29

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8is4qrzc.exe (gmer)

Код:

8is4qrzc.exe -del service hcvspmh
8is4qrzc.exe -del file "C:\WINDOWS\system32\jzzbj.dll"
8is4qrzc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hcvspmh"
8is4qrzc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hcvspmh"
8is4qrzc.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

**Vlan** · 17.11.2009, 06:29

Спасибо, скрипт выполнил. Комп так-же не копирует файлы и в панели задач ничего не отображает.

**thyrex** · 17.11.2009, 08:26

В логе gmer чисто

Лог MBAM сделайте

**Vlan** · 17.11.2009, 11:20

Добрый день! Установить MBAM не получилось, в самом конце установки он выдал ошибку. Не смог загрузить vbalGrid, ругнулся на vbalsGrid6.ocx (vbalsGrid6.ocx out of date). В качестве домашней страницы IE стоит пустая страница, но при открытии браузера загружается какая-то левая страница Проблема с копированием файлов и папок так и осталась, в панели задач так ничего и не отображается, а еще я заметил, что невозможно перемещать значки по рабочему столу. На всякий случай повторяю стандартные логи, посмотрите пожалуйста.

**Vlan** · 17.11.2009, 13:07

Кстати еще пытаюсь в AVZ отключить автозапуск со съемных носителей, локальных и сетевых дисков. После перезагрузки компа все возвращается на свои места, тоесть автозапуск остается. А еще не запускаются vb скрипты. Хотел скриптом скинуть настройки панели задач и рабочего стола в дефолтные не тут то было. Запускаешь файл, хоть из командной строки, хоть двойным щелчком, ничего не происходит вообще, как будто бы я его и не запускал вовсе.

**thyrex** · 17.11.2009, 14:12

Пробуем отключить автозапуск

Выполните скрипт в AVZ

Код:

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится.

**Vlan** · 17.11.2009, 14:47

Восстановил следующие ветки реестра, которые мы удалили во втором скрипте и все описаные проблемы исчезли.

'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Ser vices\DcomLaunch\Parameters','ServiceDll'
HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Serv ices\RpcSs\Parameters','ServiceDll'

В последних логах я понимаю было чисто? Новые делать не надо?

Добавлено через 12 минут

Ой нет, оказывается не все проблемы решились. В браузере по умолчанию стоит пустая страница, однако он ломится на каккой то китайский сайт. В реестре не нашел упоминания об этом URL-е.

**AndreyKa** · 19.11.2009, 16:33

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 QuarantineFile('C:\WINDOWS\PPLAYE~1.DLL','');
end.

Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

**CyberHelper** · 20.11.2009, 16:33

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\progra~1\mhzx\tlmhzx1031.dll - Trojan-PSW.Win32.QQPass.prh
2. c:\windows\system32\gz29050.dll - Trojan-GameThief.Win32.WOW.urc ( DrWEB: Trojan.PWS.Gamania.12064, BitDefender: Trojan.Generic.2634165, NOD32: Win32/PSW.OnLineGames.OOZ trojan, AVAST4: Win32:Malware-gen )
3. c:\windows\system32\jzusq5.dll - not-a-virus:AdWare.Win32.BHO.jxn ( BitDefender: Gen:Adware.Heur.du8@N0c8jnhb )
4. c:\windows\system32\regedit32.exe - Backdoor.Win32.DarkShell.de ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.2620984, AVAST4: Win32:Malware-gen )
5. c:\windows\system32\rpcss.dll - Trojan-GameThief.Win32.WOW.ily ( DrWEB: Trojan.PWS.Wsgame.14562 )
6. c:\windows\system32\termina.exe - Trojan.Win32.Scar.aohq ( DrWEB: BackDoor.Beizhu.2245, AVAST4: Win32:Dogrobot [Drp] )
7. c:\windows\system32\9fe2a.dll - Backdoor.Win32.ZZSlash.ath ( DrWEB: Trojan.Raber.106, BitDefender: Rootkit.28959, AVAST4: Win32:Malware-gen )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Помогите долечить комп (заявка № 60304)

Опции темы