-
Junior Member
- Вес репутации
- 61
Комп генерирует исходящий трафик.
Извеняюсь, что отступаю от правил!
Проверился CureIt. Делаю 3 скрипт AVZ, но он стопорится на 99% на папке C:\windows\system32\drivers\etc (уже второй раз) и ни шагу дальше!
Посему пока без логов.
Подскажите, как быть!
Добавлено через 1 час 10 минут
Попробовал выполнить скрипт с включенным AVZGuard, AVZ повис на том же месте!
Последний раз редактировалось YuriJJ; 11.02.2011 в 15:52.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- попробуйте сделать логи таким AVZ
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
polword
- попробуйте сделать логи таким AVZ
Попробовал! Повис так же и там же!
-
Сделайте для начала хотя бы п.2 и 3 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Добил таки!
Все упиралось в Symantec Antivirus.
После удаления сделал логи.
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Tatyana_PTO\rittidn.exe \s
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\igfxdmt32.exe');
QuarantineFile('C:\WINDOWS\system32\igfxdmt32.exe','');
DeleteService('trlzwtdc');
DeleteService('uhestkcu');
QuarantineFile('C:\WINDOWS\System32\Drivers\uhestkcu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\trlzwtdc.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tdlfbglh.sys','');
DeleteService('tdlfbglh');
DeleteService('orpnkzgf');
QuarantineFile('C:\WINDOWS\system32\Drivers\orpnkzgf.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lvsjlgzp.sys','');
DeleteService('lvsjlgzp');
DeleteService('kswswgqo');
QuarantineFile('C:\WINDOWS\System32\Drivers\kswswgqo.sys','');
DeleteService('hbgkyduk');
DeleteService('ftagvx');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\fldydhev.sys','');
DeleteService('fldydhev');
DeleteService('eryglqck');
QuarantineFile('C:\WINDOWS\System32\Drivers\eryglqck.sys','');
DeleteService('bawakzbc');
QuarantineFile('C:\WINDOWS\System32\Drivers\bawakzbc.sys','');
DeleteService('aoueeldp');
DeleteService('aruuqemv');
QuarantineFile('C:\WINDOWS\System32\Drivers\aruuqemv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aoueeldp.sys','');
DeleteFile('c:\windows\system32\igfxdmt32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\aoueeldp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\aruuqemv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bawakzbc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\eryglqck.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fldydhev.sys');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\hbgkyduk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kswswgqo.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lvsjlgzp.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\orpnkzgf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tdlfbglh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\trlzwtdc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uhestkcu.sys');
DeleteFile('C:\WINDOWS\system32\igfxdmt32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Intel System Monitor');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 61
Результат загрузки
Файл сохранён как110303_084218_quarantine_4d6f546a7667f.zipРазме р файла631175MD5d6ba7e1d66e11a4d5d93e86fae04acafФайл закачан, спасибо!
-
Junior Member
- Вес репутации
- 61
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('zuggstyi');
StopService('yvlvilsz');
StopService('xupeaqls');
StopService('xkfszysg');
StopService('pcuorznc');
StopService('nmvqbczh');
QuarantineFile('C:\WINDOWS\System32\Drivers\zuggstyi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\yvlvilsz.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xupeaqls.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xkfszysg.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\pcuorznc.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nmvqbczh.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisvvan.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ntunnmsz.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ntunnmsz.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisvvan.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\nmvqbczh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pcuorznc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xkfszysg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xupeaqls.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\yvlvilsz.sys');
DeleteService('zuggstyi');
DeleteService('yvlvilsz');
DeleteService('xupeaqls');
DeleteService('xkfszysg');
DeleteService('pcuorznc');
DeleteService('nmvqbczh');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('zuggstyi');
BC_DeleteSvc('yvlvilsz');
BC_DeleteSvc('xupeaqls');
BC_DeleteSvc('xkfszysg');
BC_DeleteSvc('nmvqbczh');
BC_DeleteSvc('pcuorznc');
BC_Activate;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 61
Результат загрузки
Файл сохранён как110305_045001_virus_4d71c0f97a053.zipРазмер файла65490MD5d62fa521b4aedfdeedd3ad6cb16770f9Файл закачан, спасибо!
-
Junior Member
- Вес репутации
- 61
Автокарантин:
Результат загрузки
Файл сохранён как 110305_045613_virusinfo_files_PTO_COMP1_4d71c26d92 466.zip
Размер файла 3715740
MD5 84eda8d8921038ea198148b58ee96174
Файл закачан, спасибо!
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('skjzsvpb');
DeleteService('qwpdrdtr');
DeleteService('jbqczgzu');
DeleteService('hxkvmsjq');
DeleteService('dpyclayg');
DeleteFile('C:\WINDOWS\System32\Drivers\jbqczgzu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hxkvmsjq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\dpyclayg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qwpdrdtr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\skjzsvpb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
-
- удалите в MBAM все кроме
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 61
-
I am not young enough to know everything...
-
-
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 45
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ndisvvan.sys - Rootkit.Win32.Agent.bmib ( DrWEB: BackDoor.Tofsee.28, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/Tofsee.AK trojan, AVAST4: Win32:Tofsee [Rtk] )
- c:\\windows\\system32\\drivers\\orpnkzgf.sys - Rootkit.Win32.TDSS.dd ( DrWEB: Trojan.NtRootKit.9868, BitDefender: Trojan.Tdss.4937, AVAST4: Win32:Crypt-IEJ [Rtk] )
- c:\\windows\\system32\\igfxdmt32.exe - Trojan.Win32.Diple.agc ( DrWEB: BackDoor.IRC.Bot.750, BitDefender: Trojan.Generic.KDV.114747, AVAST4: Win32:MalOb-EE [Cryp] )
-