-
Junior Member
- Вес репутации
- 57
Личные параметры
Всех со старым новым!
Как только загрузилась система, и появился рабочий стол, все значки исчезают, появляется небольшое окно с названием «загрузка личных параметров» и показывает какие файлы он грузит. Так 2 – 4 раза. Потом все нормально. Эти файлы лежат :
C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe
C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe
C:\NEXT\FILES\NEXT.exe
C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe
Еще не заходит на некоторые сайты, не знаю связано с вирусами или нет, именно с этой машины, дома точка доступа ви-фи и ноут на эти сайты заходит без проблем.
Последний раз редактировалось demon_hell; 15.08.2010 в 12:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll (file missing
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe','');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
QuarantineFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe','');
QuarantineFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe','');
QuarantineFile('C:\DODA\JENE\NeST.exe','');
QuarantineFile('C:\Documents and Settings\User\Шаблоны\Brengkolang.com','');
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\АРТЕАС\system\npkcusb.sys','');
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\АРТЕАС\system\npkcrypt.sys','');
DeleteFile('C:\Documents and Settings\User\Шаблоны\Brengkolang.com');
BC_DeleteFile('C:\Documents and Settings\User\Шаблоны\Brengkolang.com');
DeleteFile('C:\DODA\JENE\NeST.exe');
DeleteFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe');
DeleteFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
DeleteFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe');
DeleteFile(' c:\windows\Tasks\At1.job');
DelCLSID('63MAD6M8-1MAD-81AD-JIM6-26OP5G1234585');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187463');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431');
DelCLSID('67KLN5K0-4OPM-00WE-AAX5-77EF1D187463');
DeleteFileMask('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000', '*.*', true);
DeleteFileMask('C:\NEXT\FILES', '*.*', true);
DeleteFileMask('C:\SIN', '*.*', true);
DeleteFileMask('C:\JAN', '*.*', true);
DeleteFileMask('C:\DODA', '*.*', true);
DeleteDirectory('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000');
DeleteDirectory('C:\NEXT\FILES');
DeleteDirectory('C:\SIN');
DeleteDirectory('C:\JAN');
DeleteDirectory('C:\DODA');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + в дополнение сделайте лог Gmer
Последний раз редактировалось миднайт; 14.01.2010 в 15:07.
-
-
Junior Member
- Вес репутации
- 57
Извиняюсь за большей промежуток между постами, не было возможности отправить.
Карантин прислал.
Файл сохранён как 100118_124422_quarantine_4b542d763c31b.zip
Размер файла 69657
MD5 fe989d0e458a686ed9d5c71fcf4c1f5c
Последний раз редактировалось demon_hell; 15.08.2010 в 12:15.
-
Junior Member
- Вес репутации
- 57
видимо тему пропустили. ап.
-
Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна показать такие строчки
Код:
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое 32 и 63 секторов в каком-нибудь каталоге.
Пришлите содержимое секторов по правилам. (если файл окажется пустой сообщите.)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\avulgm.dll','');
DeleteFile('C:\WINDOWS\system32\avulgm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится ep21fn82.exe (gmer)
Код:
ep21fn82.exe -del service wsmpq
ep21fn82.exe -del file "C:\WINDOWS\system32\avulgm.dll"
ep21fn82.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wsmpq"
ep21fn82.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wsmpq"
ep21fn82.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wsmpq"
ep21fn82.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 57
После предворительного сканирования Gmer не показал строки
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
дальше выполнять не стал. Что делать?
-
тогда сделайте полный скан гмер и далее как написано в посте #5
-
-
Junior Member
- Вес репутации
- 57
После запуска гмер и предварительного сканирования всю мощность процессора забивает процесс lsass.exe. соответственно полное сканирование стопорит систему наглухо. при нажатии клавиш пищит системный бипер, мышь висит на месте. гонял несколько раз - результат один.
-
Пропускаем этот пункт. Выполняйте скрипт AVZ и в гмере.
-
-
Junior Member
- Вес репутации
- 57
При выполнении
ep21fn82.exe -del file "C:\WINDOWS\system32\avulgm.dll"
гмер выдал ошибку что то вроде неверный ключ, сейчас уже не помню к сожалению. лог сделать не удается машина виснет при сканировании как и раньше.
-
Делаете сканирование gmer выгрузив защитное ПО? Попробуйте из безопасного режима сделать.
-
-
Junior Member
- Вес репутации
- 57
Получилось просканировать, секторы 32 и 63 пустые, лог прикрепил.
Антивирус отключал, но зависать продолжает.
Последний раз редактировалось demon_hell; 15.08.2010 в 12:15.
-
В логе чисто.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - пора обновляться.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 57
В общем, проблемы нет. Вирусы, которые беспокоили изначально, удалены. Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\plain\g-2-3-45-111111bbbb-222222222222-6666666666-000\mix.exe - Worm.Win32.AutoRun.hbm ( DrWEB: Win32.HLLW.Autoruner.6412, BitDefender: Trojan.Generic.IS.418816, AVAST4: Win32:Malware-gen )
- c:\sin\s-2-3-12-abcdef7890-01234567890-1688963592-500\maq.exe - Trojan.Win32.Pincav.ogy ( DrWEB: BackDoor.Poison.685, BitDefender: Backdoor.Generic.244414, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-FSK [Trj] )
-
