-
Junior Member
- Вес репутации
- 53
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\did\lsass.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\183954.exe');
StopService('360°ІИ«дЇААЖч');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','ylzmx');
QuarantineFile('C:\WINDOWS\system32\tguhs.dll','');
QuarantineFile('c:\windows\system32\julapan.exe','');
QuarantineFile('C:\WINDOWS\System32\igmpv2.dll','');
QuarantineFile('c:\windows\system32\did\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\360IEІ№¶ЎЙэј¶.exe','');
QuarantineFile('C:\PROGRA~1\IESuper\iesuper.dll','');
QuarantineFile('c:\docume~1\alluse~1\drm\hvhfa.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\183954.exe','');
DeleteService('360°ІИ«дЇААЖч');
DeleteFile('C:\WINDOWS\system32\tguhs.dll');
DeleteFile('c:\windows\system32\did\lsass.exe');
DeleteFile('C:\WINDOWS\system32\360IEІ№¶ЎЙэј¶.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\183954.exe');
DeleteFileMask('c:\docume~1\admin\locals~1\temp\','*.*',true);
DeleteFileMask('c:\windows\system32\did','*.*',true);
DeleteDirectory('c:\windows\system32\did');
DelCLSID('{874cce0f-0fc4-5419-5419-10d55798c5d4}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('360°ІИ«дЇААЖч');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Пролечитесь от возможных файловых вирусов: http://virusinfo.info/showthread.php?t=15927. (Live CD)
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнил. результат: службы новенькие появились...
карантин залил.
качаю образ свежего докторвеба, буду проверяться. мбам - в процессе
добавлено: а еще левых процессов наплодилось, трафик весь жрут...
-
Junior Member
- Вес репутации
- 53
полечился вебом через лайвСиди, пролечился мбам-ом... можно сказать - безрезультатно, главный зловред остался, пофиксились только последствия...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LYROLU7\1[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LYROLU7\1[1].exe');
QuarantineFile('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\0OAHP47X\pt001[1].exe','');
DeleteFile('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\0OAHP47X\pt001[1].exe');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\DRM\gfctu.dll','');
QuarantineFile('C:\WINDOWS\Atidvd4.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\DRM\gfctu.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\eotidi\Parameters','ServiceDll');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1a49f431-2a2e-41a5-9080-0f41d1a3aec1} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1a49f431-2a2e-41a5-9080-0f41d1a3aec2} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a49f431-2a2e-41a5-9080-0f41d1a3aec2} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1a49f431-2a2e-41a5-9080-0f41d1a3aec2} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\contentmatch (Trojan.Cinmus) -> No action taken.
Заражено файлов:
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\0OAHP47X\pt001[1].exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LYROLU7\1[1].exe (Backdoor.PcClient) -> No action taken.
C:\Program Files\Common Files\PushWare\Uninst.exe (Trojan.Cinmus) -> No action taken.
C:\WINDOWS\system32\mgudmkib.dat (Trojan.Wansrog) -> No action taken.
C:\WINDOWS\system32\jedcvbmb.dat (Trojan.Wansrog) -> No action taken.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\spfsq.exe','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
карантин прицепил.
буквально только что касперский"09 соихволил обратить внимание на происходящий беспредел
поставлю сегодня на нчь на полную проверку, завтра логи выкину...
добавлено: еще один...
я так понимаю, имеем дело с неуловимым даунлодером?
Последний раз редактировалось n4cer; 26.11.2009 в 18:19.
-
Junior Member
- Вес репутации
- 53
Код:
26.11.2009 22:45:59 C:\WINDOWS\SYSTEM32\eq Неизвестное приложение Не вылечено: Trojan-Downloader.BAT.Ftp.ab Пропущено пользователем
26.11.2009 21:04:50 C:\WINDOWS\SYSTEM32\eq Программа передачи файлов (FTP) Обнаружено: Trojan-Downloader.BAT.Ftp.ab
26.11.2009 17:38:08 Файловый Антивирус Антивирус Касперского Задача запущена
26.11.2009 17:34:12 C:\WINDOWS\TEMP\k.exe 43.EXE Удалено: Trojan.Win32.Scar.apjo
26.11.2009 17:34:08 C:\WINDOWS\TEMP\k.exe 43.EXE Обнаружено: Trojan.Win32.Scar.apjo
26.11.2009 17:32:50 C:\WINDOWS\TEMP\k.exe 43.EXE Удалено: Trojan.Win32.Scar.apjo
26.11.2009 17:32:44 C:\WINDOWS\TEMP\k.exe 43.EXE Обнаружено: Trojan.Win32.Scar.apjo
26.11.2009 17:17:59 C:\WINDOWS\TEMP\k.exe 43.EXE Удалено: Trojan.Win32.Scar.apjo
26.11.2009 17:17:43 C:\WINDOWS\TEMP\k.exe 43.EXE Обнаружено: Trojan.Win32.Scar.apjo
26.11.2009 17:07:45 Файловый Антивирус Антивирус Касперского Задача запущена
26.11.2009 17:02:44 C:\WINDOWS\TEMP\k.exe 43.EXE Удалено: Trojan.Win32.Scar.apjo
26.11.2009 17:02:40 C:\WINDOWS\TEMP\k.exe 43.EXE Обнаружено: Trojan.Win32.Scar.apjo
26.11.2009 17:00:08 C:\WINDOWS\TEMP\k.exe 43.EXE Удалено: Trojan.Win32.Scar.apjo
26.11.2009 17:00:05 C:\WINDOWS\TEMP\k.exe 43.EXE Обнаружено: Trojan.Win32.Scar.apjo
26.11.2009 16:56:38 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll Generic Host Process for Win32 Services Удалено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:36 HKLM\System\ControlSet001\Services\venkym\Parameters\ServiceDll Generic Host Process for Win32 Services Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:34 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll Generic Host Process for Win32 Services Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:32 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll TCPSER6.EXE Удалено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:31 HKLM\System\ControlSet001\Services\wmdmpmsp\Parameters\ServiceDll TCPSER6.EXE Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:27 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll TCPSER6.EXE Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:18 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll Generic Host Process for Win32 Services Невозможно удалить: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:15 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll TCPSER6.EXE Удалено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:13 HKLM\System\ControlSet001\Services\nwcworkstation\Parameters\ServiceDll TCPSER6.EXE Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:56:04 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll TCPSER6.EXE Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:55:45 C:\DOCUMENTS AND SETTINGS\All Users\DRM\aopac.dll Generic Host Process for Win32 Services Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 16:06:49 Файловый Антивирус Антивирус Касперского Задача запущена
26.11.2009 15:55:14 Файловый Антивирус Антивирус Касперского Задача запущена
26.11.2009 15:44:45 Файловый Антивирус Антивирус Касперского Задача запущена
26.11.2009 14:04:28 Файловый Антивирус Антивирус Касперского Задача запущена
26.11.2009 13:44:37 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Невозможно удалить: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:34 HKLM\System\ControlSet001\Services\idbvtg\Parameters\ServiceDll Generic Host Process for Win32 Services Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:31 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:23 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Удалено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:21 HKLM\System\ControlSet001\Services\wmdmpmsp\Parameters\ServiceDll Generic Host Process for Win32 Services Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:18 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:14 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Удалено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:12 HKLM\System\ControlSet001\Services\nwcworkstation\Parameters\ServiceDll Generic Host Process for Win32 Services Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:44:06 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:43:54 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Невозможно удалить: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:43:52 HKLM\System\ControlSet001\Services\ias\Parameters\ServiceDll Generic Host Process for Win32 Services Вылечено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:43:47 C:\DOCUMENTS AND SETTINGS\All Users\DRM\khnxt.dll Generic Host Process for Win32 Services Обнаружено: Trojan-PSW.Win32.Bjlog.dqw
26.11.2009 13:43:47 C:\WINDOWS\SYSTEM32\SETUPLB.EXE A tool to aid in developing services for WindowsNT Удалено: Trojan.Win32.Scar.aknh
26.11.2009 13:43:39 C:\WINDOWS\SYSTEM32\SETUPLB.EXE A tool to aid in developing services for WindowsNT Обнаружено: Trojan.Win32.Scar.aknh
26.11.2009 9:03:50 Файловый Антивирус Антивирус Касперского Задача запущена
Добавлено через 5 часов 16 минут
трояны всё еще размножаются с дивным упорством. киберхелпер ничего нового не насоветовал?
Последний раз редактировалось n4cer; 27.11.2009 в 19:08.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('7hacker');
DeleteFile('C:\WINDOWS\system32\spfsq.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
сегодня появился tsinternetuser... (новый юзер с админскими правами)
логи:
Последний раз редактировалось Rene-gad; 29.11.2009 в 20:11.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\zklznv.dll','');
DeleteFile('C:\WINDOWS\System32\zklznv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\zklznv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\admin\locals~1\temp\183954.exe - Trojan.Win32.Agent.dcpc ( BitDefender: DeepScan:Generic.Malware.P!Pk!.1651ABE5 )
- c:\docume~1\alluse~1\drm\hvhfa.dll - Backdoor.Win32.Agent.andj ( DrWEB: BackDoor.Siggen.3787, BitDefender: Backdoor.Generic.228493 )
- c:\windows\system32\did\lsass.exe - Trojan-Downloader.Win32.Agent.cvux
- c:\windows\system32\spfsq.exe - Trojan-Downloader.Win32.Small.kic ( BitDefender: Trojan.Crypt.EL, AVAST4: Win32:Rincux-C [Trj] )
-