Junior Member
Вес репутации
61
руткиты+трояны+бекдоры
5-летний ребеное дорвался до учетки с админскими правами на ноуте )
drweb cureit! в сейфмоде нуходит и убивает кучу троянов и бекдоров. после загрузки в нормальном режиме - все по-новой.
помогите вылечить, плз.
логи в соответствии с правилами - в атаче.
There is nothing either good or bad,
but thinking makes it so
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите компьютер от интернета, а также антивирус и/или файрвол .
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('F:\MAgent.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\WINDOWS\scrss.exe','');
QuarantineFile('C:\WINDOWS\ndll.exe','');
QuarantineFile('C:\WINDOWS\cidrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\WINDOWS\system32\mini.exe','');
QuarantineFile('C:\WINDOWS\usbmagr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7611987172-8533457930-341658034-6475\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7611987172-8533457930-341658034-6475\syscr.exe');
DeleteFile('C:\WINDOWS\usbmagr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
DeleteFile('C:\WINDOWS\system32\mini.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
DeleteService('WINIO');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\btwhid.sys','');
DeleteFile('c:\Documents and Settings\piligrim\Рабочий стол\power\winio.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\WINDOWS\cidrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\ndll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
DeleteFile('C:\WINDOWS\scrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ScRSS');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Junior Member
Вес репутации
61
Карантин залил. Новые логи будут в течении 15 мин.
Комп после выполнения скрипта попытался перезагрузиться - но завис после закрытия всех программ, в т.ч. вин.эксплорера. После 5 мин ожидания пришлось помочь кнопкой ресет.
There is nothing either good or bad,
but thinking makes it so
Junior Member
Вес репутации
61
логи после выполнения скрипта - в атаче.
Вложения
There is nothing either good or bad,
but thinking makes it so
Зловредов не видно. Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Как система поживает?
Junior Member
Вес репутации
61
Спасибо за быстрый ответ.
Все обновления от МС поставлю обязательно.
Система вроде жива, надо пару часов чтоб потестить..
There is nothing either good or bad,
but thinking makes it so
Junior Member
Вес репутации
61
Все ок. фулскан авастом нашел еще парочку зловредов, но это были явно остатки, которые уже не подгружались при старте.
Еще раз спасибо за помощь. На этом тему можно закрывать
There is nothing either good or bad,
but thinking makes it so
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 26 В ходе лечения обнаружены вредоносные программы:
c:\windows\scrss.exe - Net-Worm.Win32.Kolab.hpn ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.3587905, AVAST4: Win32:Malware-gen ) c:\windows\system32\mini.exe - Backdoor.Win32.VB.lhj ( DrWEB: BackDoor.IRC.Sdbot.5096, BitDefender: Backdoor.Generic.286265, AVAST4: Win32:Trojan-gen ) c:\windows\usbmagr.exe - Backdoor.Win32.VB.lhj ( DrWEB: BackDoor.IRC.Sdbot.5096, BitDefender: Backdoor.Generic.286265, AVAST4: Win32:Trojan-gen )