-
Junior Member
- Вес репутации
- 53
Нужна Ваша помощь, загрызли вирусы.
Всем привет.Как говориться: "мочало,начинай сначала".
Только несколько дней назад закрыл тему.Опят появились такие же проблемы как и в прошлый раз. В корне: t. ini:
[T]
T=C:\Windows\System32\iIpc\E001.exe
И дальше в папке System32 куча папок с файлом A06.exe
В интернете можно находиться минут 20-ть,а потом жуткие тормоза и зависание страниц IE(пользуюсь ОПЕРОЙ).Зависают приложения и периодически пропадает (как показатель тормозов и зависаний) язык.панель.До этого прогнал весь комп(C:,D:,E MBAM,DrWeb 5.0. Нашлись троянчики, все убилось.
Как подключишься к инету,все пиши пропало. Я уже устал,если честно.
на ХР норма,а на Висте такие проблемы.Такое ощущение что операционка работает параллельно с еще какой-то. Помогите вылечить и найти "очаг" постоянного заражения.
Восстановление Системы отключил.Карантин AVZ не высылаю пока(по правилам, без запроса). Может это пригодится (ребенок играет в инете через Steam в Counter-Strike Source)Вот логи:
Последний раз редактировалось VlaDos; 10.12.2009 в 23:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\mawa.exe');
QuarantineFile('C:\Windows\Atvxx.exe','');
QuarantineFile('C:\Windows\sevxx.exe','');
QuarantineFile('C:\Windows\system32\mawa.exe','');
QuarantineFile('c:\windows\system32\config\system~1\applic~1\ltdas\ltdas.dll','');
DeleteService('vxx');
DeleteService('srgxx');
DeleteService('s');
DeleteFile('C:\Windows\system32\mawa.exe');
DeleteFile('C:\Windows\sevxx.exe');
DeleteFile('C:\Windows\Atvxx.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
2. После перезагрузки пришлите попавшие в карантин файлы согласно приложению 3 правил
3. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Venus Doom, логи те же или все которые в подписи у Вас.........
Последний раз редактировалось VlaDos; 09.12.2009 в 02:52.
-
Повторите процедуру "диагностика" правил и прикрепите полученные отчеты
Не забудьте карантин
Последний раз редактировалось Никита Соловьев; 09.12.2009 в 02:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
скрипт выполнил,карантин выслал,вот новые логи:
Последний раз редактировалось VlaDos; 10.12.2009 в 23:00.
-
Меняйте пароли
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\eptrunsrv.dll','');
DeleteFile('C:\Windows\system32\config\SYSTEM~1\APPLIC~1\ltdas\ltdas.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\fastuserswitchingcompatibility\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
сегодня обнаружил в папке DrWeb\infected такое содержимое(скрин 1-3)
При установке DrWeb он что то сказал про изменение или подмену hostа(работа вредоносного ПО),я согласился.
Последний раз редактировалось VlaDos; 10.12.2009 в 23:00.
-
Junior Member
- Вес репутации
- 53
thyrex,можно уточнить какие пароли:
-админ.по умолчанию(не устанавливался при установки)
-Пользователь(с админ. правами)
-Подключение к инету.
-
Junior Member
- Вес репутации
- 53
пароли сменил(не мог изменить пароль Пользователя),карантин загрузил,вот лог:
Последний раз редактировалось VlaDos; 10.12.2009 в 23:00.
-
C:\Windows\system32\eptrunsrv.dll поищите на диске (можно с помощью AVZ). Если найдется? запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Папку с карантином DrWeb можно очистить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex,я наверное поторопился и прогнал DrWeb и MBAM. Незнаю получится найти эту dll после них. А откуда это берется все?Вот логи:
Нету этой дллки (искал AVZ)
Последний раз редактировалось VlaDos; 10.12.2009 в 23:00.
-
Удалите в mbam
Код:
C:\Windows\System32\eptlogsrv.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\0D5WYZGF6K\A06.exe (Malware.Packer) -> No action taken.
C:\Windows\System32\1SUZQWUHBT\A06.exe (Malware.Packer) -> No action taken.
C:\Windows\System32\2J911Y6Q9D\A06.exe (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCA0DOXY3.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCA6VFB0E.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAA8VEG6.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAG98UBR.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAK1OYJA.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAMLJEC4.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAQ4SQI8.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAWUOP25.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scannerCAZ871C9.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[10].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[11].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[1].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[2].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[3].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[4].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[5].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[6].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[7].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[8].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCN5DA1Y\scanner[9].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\A06[2].exe (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\A06[5].exe (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\A06[7].exe (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\A06[8].exe (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCA0MX03T.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCA2AZMPW.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCA2EB19V.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCACFM8OQ.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCACQUF3Y.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAGJ2CRE.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCANMGQ1I.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCANP0SAP.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAPYIOX4.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAQTBY5Y.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAR0D2DG.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCARJ8JXR.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAT3T2I1.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAUK2NZT.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAV3P5VX.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAWOEBKJ.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scannerCAX5XZEO.dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[10].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[11].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[1].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[2].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[3].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[4].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[5].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[6].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[7].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[8].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FUONY9TZ\scanner[9].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WA8NM9EE\J002[1].exe (Trojan.Scar) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WOARVDGS\scanner[1].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WOARVDGS\scanner[2].dll (Malware.Packer) -> No action taken.
C:\Windows\System32\UAZDXC3YW7\J002.exe (Trojan.Scar) -> No action taken.
C:\Windows\System32\WKUP8GN3M1\A06.exe (Malware.Packer) -> No action taken.
C:\t.ini (Malware.Trace) -> No action taken.
Сделаете новый лог mbam
-
-
Junior Member
- Вес репутации
- 53
это что то.Сейчас Защитник Windows показал изменения паараметров (запретил,но появилась ошибка действия):
-process _pid.996
-service _s
Я уже включил автообновление,защитника,UAC и все бестолку."Накрывает" беспомощность в этом случаи.
Опять в папке Content IE5 появилось четыре папки с Га...ом типа A06.exe A06[--].exe J001[--].exe и так же папка (уже РОДНАЯ)
iIpc в ней H001.exe. Сканирование MBAM идет (пока было 6-ть объектов).Сейчас не могу открыть окно MBAM, если сворачиваешь случайно,то очень трудно востановить.
Последний раз редактировалось VlaDos; 09.12.2009 в 17:08.
-
Отключитесь от сети Интернет и выгрузите антивирусную программу, сетевой экран (если они у Вас есть); закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (например, Internet Explorer),попробуйте удалить файлы в mbam.
-
-
Junior Member
- Вес репутации
- 53
сейчас попробую. А что это вообще происходит Вы мне можете объяснить......
Да,хотел спросить. После удаления файлов и перезагрузки MBAM появляется в списке заблокированных программ автозагрузки.(почему и как это исправить или так должно быть)
Добавлено через 2 часа 19 минут
все удалил, проверяю-чисто. Логи чистые.Но стоит подключиться к инету, все начинается вновь. (сейчас зашел с ХР). Так Вы мне можите ответить на вопрос ЧТО ПРОИСХОДИТ.Просто у меня такая ситуация первый раз(обычно справлялся с вирусней).
Последний раз редактировалось VlaDos; 09.12.2009 в 19:37.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\system32\eptrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\EptMap\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Почистите папку с временными файлами Интернета
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex, я выполнил скрипт ( первый раз забыл отключить защитник винд.,он запрещал изменения,а после перезагрузки выполнил как надо). Насчет проблемы(осталась или вылечили) отвечу завтра.
-
Junior Member
- Вес репутации
- 53
thyrex,со вчерашнего вечера оставил включенный инет.Вроде бы пока все чисто и ничего не беспокоит,за исключением появившейся папки(iIpc),она чистая. А что вообще было и к каким зловредам относится eptrunsrv.dll?Тему пока закрывать не буду, пару дней посмотрю,что и как.
-
Junior Member
- Вес репутации
- 53
Блииииин.Опять какая то ерунда. Был в инете,появился экран смерти и перезагрузка. После перезагрузки окно ошибки(скрин),в корне опять t.ini c тем же содержимым.В папке iIpc появился М001.ехе. В папке temp два файла(TMP0000004E7CD9A32D09437AC,TMP000000FA67B0C6907D115 9E).
В c:\windows\system32\config появились(может не замечал,но по логике вещей таких,временных не должно быть(ВАМ виднее)):
COMPON`1 bak
COMPON`1.tmp LOG1
DEFAULT.tmp LOG1
SECURITY.tmp LOG1
SYSTEM.tmp LOG1
SYSTEM.tmp LOG1
COMPON`1.tmp LOG2
DEFAULT.tmp LOG2
SAM.tmp LOG2
SECURITY.tmp LOG2
SOFTWARE.tmp LOG2
SYSTEM.tmp LOG2
Защитник Windows показал ошибку изменения:
process:pid:1284;service:ias;file:c:\windows\syste m32\drphq.dll
В системных событиях: ошибка службы "ltdasъiЙ" и "Endpoint Mapper"- файл не найден.
MBAM нашел и надеюсь удалил 4 объекта(log).
Пацаны...... Чтооооооо этооооооо? Извините за флуд,но нет ни каких сил это терпеть.
Скрин не грузится.
Последний раз редактировалось VlaDos; 22.07.2010 в 21:55.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Windows\System32\iIpc\M001.exe','');
DeleteFile('c:\Windows\System32\iIpc\M001.exe');
QuarantineFile('C:\Windows\System32\koovn.exe','');
DeleteFile('C:\Windows\System32\koovn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все найденное
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-