Molotoff Опубликовано 20 сентября, 2008 Жалоба Поделиться Опубликовано 20 сентября, 2008 Доброго времени суток! Третьего дня подвергся вирусной атаке на свой компьютер. Установленный NOD32 и Agnitum Outpost Firewall Pro не спасли, к сожалению, от заражения. Следуя инструкциям данного подраздела сформировал Log-файлы программами AVZ и HiJackThis, которые и прикладываю. Буду признателен в помощи от этой заразы. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 20 сентября, 2008 Жалоба Поделиться Опубликовано 20 сентября, 2008 Обновите базы АВЗ Отключите Восстановление системы 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\services.exe','');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');QuarantineFile('C:\WINDOWS\system32\resnet32.dll','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Xrj66.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Wli22.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Vuq22.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Sqy22.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Qmu44.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Pph88.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Pld66.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Kba33.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Jvn11.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Jme88.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Htu44.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Hkc00.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Hjr00.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Dwv66.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Dra33.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Ddl77.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Buk22.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Bih22.sys','');QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Pmg33.sys','');QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('acs.exe','');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\WINDOWS\system32\WinNt32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Pmg33.sys');DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Bih22.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Buk22.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ddl77.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dra33.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Dwv66.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Hjr00.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Hkc00.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Htu44.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Jme88.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Jvn11.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Kba33.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pld66.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pph88.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qmu44.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Sqy22.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Vuq22.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wli22.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Xrj66.sys');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('C:\WINDOWS\system32\resnet32.dll');DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');DeleteFile('C:\WINDOWS\system32\vbsys2.dll');DeleteFile('C:\WINDOWS\services.exe');BC_ImportAll;BC_DeleteSvc('synsend');BC_DeleteSvc('Xrj66');BC_DeleteSvc('Wli22');BC_DeleteSvc('Vuq22');BC_DeleteSvc('Sqy22');BC_DeleteSvc('lbrtfdc');BC_DeleteSvc('Kba33');BC_DeleteSvc('Jvn11');BC_DeleteSvc('Buk22');BC_DeleteSvc('Bih22');BC_DeleteSvc('Pmg33');BC_DeleteSvc('VIDEO');BC_DeleteSvc('Htu44');BC_DeleteSvc('Hkc00');BC_DeleteSvc('Hjr00');BC_DeleteSvc('Dwv66');BC_DeleteSvc('Dra33');BC_DeleteSvc('Qmu44');BC_DeleteSvc('Pph88');BC_DeleteSvc('Pld66');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему 2.Пофиксить в HijackThis следующие строчки ) O16 - DPF: {33331111-1111-1111-1111-611111193423} -O16 - DPF: {33331111-1111-1111-1111-615111193427} -O16 - DPF: {33331111-1131-1111-1111-611111193428} -O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing) Повторите логи Ссылка на комментарий Поделиться на другие сайты Поделиться
Molotoff Опубликовано 20 сентября, 2008 Автор Жалоба Поделиться Опубликовано 20 сентября, 2008 сделал все описанные этапы, теперь при загрузке Windows вылетают окошки с сообщением о том, что невозможно прочитать файл winhelp32.bkp и др. и нет доступа к реестру, в автозагрузке стоит winhelp32.exe логи прилагаю virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 20 сентября, 2008 Жалоба Поделиться Опубликовано 20 сентября, 2008 (изменено) Необходимо деинсталлировать на время лечения оутпост, он мешает корректной работе антируткита AVZ. Пофиксить в HijackThis следующие строчки O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO20 - AppInit_DLLs: C:\WINDOWS\system32\vmmreg32.dllO20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\System32\ASTROG~1.SCR','');QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe -p %ld -e %ld','');QuarantineFile('zjpsxyml.sys','');SetServiceStart('zjpsxyml', 4);DeleteService('zjpsxyml');SetServiceStart('ati1fnxx', 4);DeleteService('ati1fnxx');QuarantineFile('C:\WINDOWS\system32\Drivers\ati1fnxx.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('WinNt64.dll');DeleteFile('WinNt32.dll');DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');DeleteFile('zjpsxyml.sys');DeleteFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\9NZ7590A\xyyandex.net.img_neb1[1].js');DeleteFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\DJNDRT7W\file[1].exe');DelBHO('{9030D464-4C02-4ABF-8ECC-5164760863C6}');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Включите AVZPM и повторите логи. Изменено 20 сентября, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Molotoff Опубликовано 21 сентября, 2008 Автор Жалоба Поделиться Опубликовано 21 сентября, 2008 обратно проделал все описанные действия и скомпилировал новые логи, прилагаю virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 сентября, 2008 Жалоба Поделиться Опубликовано 21 сентября, 2008 (изменено) Ладно пробуем таким способом. Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: C:\WINDOWS\System32\Drivers\ati1fnxx.sys C:\WINDOWS\system32\drivers\synsenddrv.sys Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe','');QuarantineFile('C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll','');SetServiceStart('ati1fnxx', 4);DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');DeleteService('ati1fnxx');DeleteFile('C:\WINDOWS\System32\Drivers\ati1fnxx.sys');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи AVZ. Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Изменено 21 сентября, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Molotoff Опубликовано 21 сентября, 2008 Автор Жалоба Поделиться Опубликовано 21 сентября, 2008 C:\WINDOWS\System32\Drivers\ati1fnxx.sys C:\WINDOWS\system32\drivers\synsenddrv.sys - Эти файлы ледяным мечом не удалил, ибо не нашел, остальное выполнил по инструкции, вот логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log gmer.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log gmer.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 21 сентября, 2008 Жалоба Поделиться Опубликовано 21 сентября, 2008 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\wmjynu.sys','');QuarantineFile('00000DEA.sys','');DeleteFile('C:\WINDOWS\system32\drivers\wmjynu.sys');BC_ImportAll;BC_DeleteSvc('zjpsxyml');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Molotoff Опубликовано 21 сентября, 2008 Автор Жалоба Поделиться Опубликовано 21 сентября, 2008 новые логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Molotoff Опубликовано 22 сентября, 2008 Автор Жалоба Поделиться Опубликовано 22 сентября, 2008 Скажите, надо что-то еще делать или вся зараза уже удалена? Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 23 сентября, 2008 Жалоба Поделиться Опубликовано 23 сентября, 2008 Врагов в логах больше не видать. Можете обновиь базы антивируса и запустить на полную проверку компьютер. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 2 октября, 2008 Жалоба Поделиться Опубликовано 2 октября, 2008 Molotoff: ваша тема находится здесь Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти