-
Junior Member
- Вес репутации
- 61
Прошу помочь вычистить остатки гадости.
Были сильные тормоза, не запускались некоторые программы и машина не грузилась в безопасном режиме.
После проверки раздела на другой машине DrWebом компьютер загрузился в безопасном , но при подключении интернета в нормальном режиме всё повторилось!
Логи по правилам прилагаю.
Последний раз редактировалось YuriJJ; 13.03.2011 в 22:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пока СП3 не поставите будете такими кучами китайские поделки ловить.
Добавлено через 3 минуты
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C643131');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
QuarantineFile('D:\UCS\SDBSrv\sdbserv.exe','');
QuarantineFile('C:\WINDOWS\system32\L46OFYKV\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
QuarantineFile('C:\WINDOWS\system32\upacfa0.exe','');
QuarantineFile('D:\UCS\SH4\rkinv.exe','');
QuarantineFile('C:\WINDOWS\system32\dwbf.exe','');
QuarantineFile('c:\windows\system32\trchsvstart.dll','');
QuarantineFile('c:\windows\system32\upacfa0.exe','');
QuarantineFile('d:\ucs\sdbsrv\sdbserv.exe','');
QuarantineFile('c:\windows\system32\iexplorer.exe','');
QuarantineFile('c:\windows\system32\dwbf.exe','');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин по Правилам.
Последний раз редактировалось PavelA; 19.03.2010 в 10:27.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
PavelA
Пока СП3 не поставите будете такими кучами китайские поделки ловить.
Виноват!
СП3 уже стоит!
Добавлено через 6 минут
Результат загрузки
Файл сохранён как 100319_140834_virus_4ba35b32bc288.zip
Размер файла 596452
MD5 beea2a2e6e86df1fe32faf6c1fc0c36e
Файл закачан, спасибо!
Последний раз редактировалось YuriJJ; 19.03.2010 в 14:08.
Причина: Добавлено
-
C:\WINDOWS\system32\upacfa0.exe Trojan.Win32.Scar.buue по Касперскому
C:\WINDOWS\system32\dwbf.exe - свежий, имени пока нет.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteService('fwrefwe3');
DeleteService('wyssbdad0');
TerminateProcessByName('c:\windows\system32\upacfa0.exe');
TerminateProcessByName('c:\windows\system32\dwbf.exe');
DeleteFile('c:\windows\system32\dwbf.exe');
DeleteFile('c:\windows\system32\upacfa0.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось YuriJJ; 13.03.2011 в 22:12.
-
Отвечу завтра, если никто кроме меня не спадобиться на это.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\WINDOWS\system32\ssdminc.exe','');
BC_DeleteSvc('acpi24Drv');
BC_DeleteSvc('fwrefwe3');
BC_DeleteSvc('acpi24');
DeleteFile('C:\WINDOWS\system32\acpi24.exe');
DeleteFile('C:\WINDOWS\system32\L46OFYKV\J002.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если что-то попадет в карантин, то прислать.
Логи потом повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Карантин есть.
Результат загрузки
Файл сохранён как100320_112635_virus_4ba486bb0efaf.zipРазмер файла28041MD56b15662dd0ad3ebd1e3f2a060cfc9b23Файл закачан, спасибо!
новые логи:
Последний раз редактировалось YuriJJ; 13.03.2011 в 22:12.
-
Добиваем:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\WINDOWS\system32\ssdminc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после этого повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось YuriJJ; 13.03.2011 в 22:12.
-
Выполните скрипт:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ctsrv.exe','');
QuarantineFile('C:\WINDOWS\System32\trchsclib.dll','');
DeleteFile('C:\WINDOWS\system32\trchsvstart.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи.
-
-
Junior Member
- Вес репутации
- 61
Результат загрузки
Файл сохранён как100325_201123_virus_4bab993b8c910.zipРазмер файла263176MD5f312fcf6e729bc9d63818ce64d10eb35Файл закачан, спасибо!
Добавлено через 34 секунды
Логи делаю.
Последний раз редактировалось YuriJJ; 25.03.2010 в 20:12.
Причина: Добавлено
-
Сообщение от
YuriJJ
Логи делаю.
Что-то долго...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\dwbf.exe - Backdoor.Win32.Hupigon.kjtu ( DrWEB: Trojan.Siggen1.11135, AVAST4: Win32:Dogrobot [Drp] )
- c:\windows\system32\ssdminc.exe - Backdoor.Win32.Agent.aqwp ( DrWEB: BackDoor.Beizhu.2245, AVAST4: Win32:Dogrobot [Drp] )
- c:\windows\system32\trchsclib.dll - Trojan-Downloader.Win32.Agent.djjz
- c:\windows\system32\trchsvstart.dll - Trojan-Spy.Win32.Agent.begk
- c:\windows\system32\upacfa0.exe - Trojan.Win32.Scar.buue ( DrWEB: DDoS.Attack.230, AVAST4: Win32:Dogrobot [Drp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-