 |
|
|
18.04.2010, 07:52
|
#1 |
|
Новичок
Регистрация: 18.04.2010
Сообщений: 5
Репутация: 0
|
помогите пожалуйста вылечить компьютер. трояны одолели
Помогите, пожалуйста, вылечить компьютер.
Идет огромный исходящий трафик. CureIt не помогает. Avira видит кучу троянов, но не может вылечить. логи AVZ и hijackthis : http://exfile.ru/95873 http://exfile.ru/95874 |
|
|
18.04.2010, 10:57
|
#2 |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\pcidump.sys','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('c:\windows\system32\imvnk29y8k\j003.exe','');
QuarantineFile('C:\WINDOWS\system32\IMVNK29Y8K\F001.exe','');
QuarantineFile('C:\WINDOWS\system32\JFD312R0MS\F001.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XNECRRYQ\get[1].zip','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CVBLSWRD\F001[1].exe','');
QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
DelBHO('{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}');
QuarantineFile('C:\WINDOWS\Windows7\Print32.dll','');
QuarantineFile('c:\windows\system32\f02359192k.cmd','');
QuarantineFile('c:\windows\qvodv\smss.exe','');
QuarantineFile('Explorer.exe C:\WINDOWS\csrsc.exe','');
QuarantineFile('C:\WINDOWS\system32\scvhost.exe','');
QuarantineFile('C:\WINDOWS\system32\anitsvstart.dll','');
QuarantineFile('C:\WINDOWS\114\lsass.exe','');
QuarantineFile('C:\PROGRA~1\Google\huifh.dlc','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Storm\update\xtiid.dlc','');
DeleteService('acpi24Drv');
DeleteService('vsr');
DeleteService('vsd');
DeleteService('Nationalqnp');
DeleteService('frrd');
DeleteService('Wins');
DeleteService('txqqe');
StopService('dea');
StopService('vfsd');
StopService('txqqe');
StopService('SqlDebuger');
DeleteService('SqlDebuger');
DeleteService('fwrefwe3');
DeleteService('vfsd');
DeleteService('rFFrrox2');
DeleteService('dea');
QuarantineFile('c:\windows\system32\bbdydmz.dll','');
QuarantineFile('c:\windows\system32\bbdydm.dll','');
QuarantineFile('C:\WINDOWS\QQ.exe','');
QuarantineFile('C:\WINDOWS\System32\anitsclib.dll','');
QuarantineFile('c:\windows\system32\anitsvstart.dll','');
QuarantineFile('c:\windows\system32\sqldebug.exe','');
QuarantineFile('c:\windows\system32\sqlserv.exe','');
QuarantineFile('c:\program files\microsoft office\svchost.exe','');
TerminateProcessByName('c:\program files\microsoft office\svchost.exe');
QuarantineFile('c:\windows\system32\rifhiw.exe','');
TerminateProcessByName('c:\windows\system32\rifhiw.exe');
QuarantineFile('c:\windows\qq.exe','');
TerminateProcessByName('c:\windows\qq.exe');
QuarantineFile('c:\windows\system32\imvnk29y8k\j002.exe','');
TerminateProcessByName('c:\windows\system32\imvnk29y8k\j002.exe');
QuarantineFile('c:\windows\tasks\conime.exe','');
TerminateProcessByName('c:\windows\tasks\conime.exe');
QuarantineFile('c:\windows\temp\934223.exe','');
TerminateProcessByName('c:\windows\temp\934223.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end.
|
|
|
|
18.04.2010, 10:57
|
#3 |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('c:\windows\temp\934223.exe');
BC_DeleteFile('c:\windows\tasks\conime.exe');
BC_DeleteFile('c:\windows\system32\imvnk29y8k\j002.exe');
BC_DeleteFile('c:\windows\qq.exe');
BC_DeleteFile('c:\windows\system32\rifhiw.exe');
BC_DeleteFile('c:\program files\microsoft office\svchost.exe');
BC_DeleteFile('c:\windows\system32\anitsvstart.dll');
BC_DeleteFile('C:\WINDOWS\System32\anitsclib.dll');
BC_DeleteFile('C:\WINDOWS\QQ.exe');
BC_DeleteFile('c:\windows\system32\bbdydm.dll');
BC_DeleteFile('c:\windows\system32\bbdydmz.dll');
DeleteFile('C:\WINDOWS\system32\rifhiw.exe');
DeleteFile('C:\WINDOWS\system32\FFrrfox2.exe');
DeleteFile('C:\WINDOWS\system32\IMVNK29Y8K\J002.exe');
DeleteFile('C:\WINDOWS\system32\IMVNK29Y8K\J001.exe');
DeleteFile('C:\WINDOWS\system32\sqlserv.exe');
DeleteFile('C:\WINDOWS\QQ.exe');
DeleteFile('C:\WINDOWS\Wins.exe');
DeleteFile('C:\WINDOWS\system32\z\B7878.exe');
DeleteFile('C:\WINDOWS\system32\rmxdmm.exe');
DeleteFile('C:\WINDOWS\system32\z\J002.exe');
DeleteFile('C:\WINDOWS\system32\z\eoo1.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Storm\update\xtiid.dlc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
DeleteFile('C:\PROGRA~1\Google\huifh.dlc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_DeleteFile('C:\WINDOWS\114\lsass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lasst');
BC_DeleteFile('C:\WINDOWS\system32\anitsvstart.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AniSrv\Parameters','ServiceDll');
BC_DeleteFile('C:\WINDOWS\system32\scvhost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','360Soft');
BC_DeleteFile('Explorer.exe C:\WINDOWS\csrsc.exe');
BC_DeleteFile('c:\windows\qvodv\smss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss');
DeleteFile('c:\windows\system32\f02359192k.cmd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\F02359192K\Parameters','ServiceDll');
BC_DeleteFile('C:\WINDOWS\Windows7\Print32.dll');
BC_DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CVBLSWRD\F001[1].exe');
BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XNECRRYQ\get[1].zip');
BC_DeleteFile('C:\WINDOWS\system32\IMVNK29Y8K\F001.exe');
BC_DeleteFile('c:\windows\system32\imvnk29y8k\j003.exe');
BC_DeleteFile('C:\WINDOWS\system32\regedit32.exe');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\pcidump.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
quarantine.zip из папки AVZ отправьте на snifer67@tut.by Сделайте новые логи. |
|
|
|
18.04.2010, 11:36
|
#5 | |
|
Новичок
Регистрация: 18.04.2010
Сообщений: 5
Репутация: 0
|
Цитата:
|
|
|
|
|
18.04.2010, 14:23
|
#6 |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
СДелайте новые логи.
---------- Добавлено в 12:23 ---------- Предыдущее сообщение было написано в 11:53 ---------- csrsc.exe - Trojan-Downloader.Win32.Agent.dldf pcidump.sys - Rootkit.Win32.Agent.aeji Остальное ушло в вирлаб. |
|
|
|
18.04.2010, 17:03
|
#7 |
|
Новичок
Регистрация: 18.04.2010
Сообщений: 5
Репутация: 0
|
|
|
|
|
18.04.2010, 17:14
|
#9 | |
|
Новичок
Регистрация: 18.04.2010
Сообщений: 5
Репутация: 0
|
Цитата:
просто у меня и в avira присутствует фаервол, но, блин, пропускает этих троянов.. или я не могу его насторить как положено.. 
|
|
|
|
|
18.04.2010, 17:49
|
#10 |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('acpi24Drv');
DeleteFile('c:\docume~1\alluse~1\applic~1\storm\update\xtiid.dlc');
DeleteFile('c:\windows\system32\userdata1.dll');
DeleteFile('C:\WINDOWS\COMRes.dll');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Storm\update\xtiid.dlc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
DeleteFile('C:\PROGRA~1\Google\huifh.dlc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSDMS\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи. |
|
|
|
18.04.2010, 18:06
|
#11 | |
|
Эксперт
Регистрация: 31.03.2009
Сообщений: 12,892
Репутация: 998
|
Цитата:
 авиру не пользовал увы, как там фаер настроить не знаю У трояна основная цель собрать данные с компа и отослать разработчику трояна. Как раз при попытке отослать данные в интернет файервол и засекает трояна.
|
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Как вылечить компьютер от вируса | Lerlik | Безопасность | 1 | 26.11.2010 07:27 |
| Помогите удалить трояны syscr.exe. Лог AVZ имеется. | Аlexandr | Безопасность | 4 | 29.08.2010 16:17 |
| Вирус. Помогите разобраться как вылечить компьютер. | Sve | Безопасность | 8 | 24.08.2010 11:08 |
| Помогите вылечить проблемный компьютер | Neites | Безопасность | 1 | 05.06.2010 09:44 |
| Как вылечить компьютер от вирусов? | gukaselya | Безопасность | 44 | 04.06.2010 22:34 |
| Помогите, пожалуйста, вылечить мой компьютер от вирусов | Нестеренко Алёна | Безопасность | 1 | 20.05.2010 03:15 |
| Помогите вылечить компьютер | Hantik | Безопасность | 6 | 18.04.2010 11:25 |
| Выключается компьютер сам по себе! Помогите пожалуйста! | BearBoy | Железо | 29 | 11.04.2010 11:59 |
| Помогите пожалуйста собрать компьютер | Vippi | Железо | 1 | 07.12.2008 14:49 |
| Помогите пожалуйста выбрать хороший компьютер | Dimoss | Железо | 5 | 13.11.2008 03:58 |
