Nike_b Опубликовано 15 ноября, 2009 Опубликовано 15 ноября, 2009 Помогите пожалуйста избавиться от этой нечисти: C:\WINDOWS\Temp\hlktmp (расширения не имеет). Я предполагаю, что это троян. Пробовал удалить, но винда ругается (будто файл занят другим приложением и т.п.). Не помог даже KillBox.exe пишет: --------------------------- File Access --------------------------- This File could not be Deleted --------------------------- ОК --------------------------- Загружался в безопасный режим удалял без проблем. Но при перезагрузке в обычный режим файл снова появлялся. PS: Как только компьютер загрузился размер файла hlktmp - 0 КБ, минут через 5 размер файла достигает максимального значения 8 209 КБ. Позже начинает увеличиваться размер папки C:\WINDOWS\Temp\, где создаются файлы типа PR6.tmp, PR9.tmp, PR23.tmp, PR2A.tmp и т.д., максимальный размер которых достигает 1,6 ГБ (их тоже нельзя удалить). Это происходит даже при отключенном интернете, до тех пор, пока не закончится место на жестком диске и комп не повиснет. Пробовал удалять в обычном режиме при помощи Unlocker 1.8.8 появлялось окно (см. прилагаемый файл "Окно Unlocker.jpg"), после чего файл hlktmp исчезал до следующей перезагрузки ОС. У меня стоит Windows XP SP2 и Касперский 6.0.1.411, который обновляется каждый день. Касперский ничего не обнаружил. Необходимые логи прилагаю. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt hijackthis.log
thyrex Опубликовано 15 ноября, 2009 Опубликовано 15 ноября, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syschk32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyy14.sys',''); DeleteService('Winyy14'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyy14.sys'); DeleteFile('C:\WINDOWS\system32\syschk32.exe'); DeleteFile('C:\Windows\Tasks\System Check.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксите в HiJack R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) R3 - URLSearchHook: (no name) - *{83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Сделайте новые логи Выполните дополнительно Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Nike_b Опубликовано 18 ноября, 2009 Автор Опубликовано 18 ноября, 2009 Сообщение от модератора thyrex Нарушение п. 14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы. Отправил на сайт newvirus@kaspersky.com архив quarantine.zip из папки AVZ. Получил следующий ответ: < вот содержимое файла quarantine.zip bcqr00001.ini bcqr00002.ini bcqr00003.ini bcqr00004.ini ничего вредоносного там нет.> По этому решил и Вам отослать архив quarantine.zip. Может вы чего увидите. В HiJack пофиксил только 2 кода: R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) R3 - URLSearchHook: (no name) - *{83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) Третьего что-то не было. После чего сделал новый лог файл hijackthis.log, в котором уже отсутствуют коды R3. Во время экспресс-проверки GMER выдает ошибку (см. приложение Ошибка GMER.jpg), в результате чего дальнейшее сканирование не возможно. hijackthis.log
Nike_b Опубликовано 18 ноября, 2009 Автор Опубликовано 18 ноября, 2009 Сделайте новые логи avz. Вот новые логи как Вы просили virusinfo_syscure.zip virusinfo_syscheck.zip
snifer67 Опубликовано 18 ноября, 2009 Опубликовано 18 ноября, 2009 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Nike_b Опубликовано 18 ноября, 2009 Автор Опубликовано 18 ноября, 2009 Сообщение от модератора thyrex Нарушение п. 14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы. После проверки ComboFix получил отчет (высылаю). А после перезагрузки компьютера Касперский обнаружил вирус (см. скриншот), а также самовольно включился брандмауэр Windows. И ещё я заметил в папке появились 2 подозрительных файла с именами "1" и "1.LOG", которых ранее не было. (см. скриншот) Что с этими файлами делать? PS: Кстати, файл C:\WINDOWS\Temp\hlktmp по прежнему появляется, и его нельзя удалить. ComboFix.txt
snifer67 Опубликовано 19 ноября, 2009 Опубликовано 19 ноября, 2009 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение NetSvcs:: wbfrfmj File:: Driver:: Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7449:TCP"=- FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Попробуйте сделать лог gmer.
Nike_b Опубликовано 19 ноября, 2009 Автор Опубликовано 19 ноября, 2009 Все сделал как говорили. Файл ComboFix.txt прикрепил. Сделать лог gmer опять не получается. В процессе экспресс-проверки выскакивает ошибка и программа закрывается. ComboFix.txt
thyrex Опубликовано 19 ноября, 2009 Опубликовано 19 ноября, 2009 Строгое предупреждение от модератора thyrex Нарушение п. 14 Чрезмерное цитирование. Это создает неудобства при чтении и замедляет скорость загрузки страницы.Еще раз и получите предупреждение Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinCtrl32.dll',''); DeleteFile('WinCtrl32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Попробуйте перед создание лога gmer отключить весь защитный софт. Если не поможет, пробуйте сделать лог в безопасном режиме
Nike_b Опубликовано 26 ноября, 2009 Автор Опубликовано 26 ноября, 2009 Здравствуйте! Отправил на сайт newvirus@kaspersky.com архив quarantine.zip из папки AVZ. Получил следующий ответ: Здравствуйте, bcqr00001.ini, bcqr00002.ini Вредоносный код в файлах не обнаружен. Новые логи, включая quarantine.zip из папки AVZ, прилагаю. Пробовал запускать GMER в безопасном режиме. В процессе экспресс-проверки опять выскакивает ошибка и программа закрывается. И ещё недавно обнаружил 2 подозрительных объекта в папке C:\WINDOWS. На прилагаемом скрине выделены синим цветом (0 и 0.log). Сообщение от модератора ТроПа Удалил quarantine.zip , там хоть врагов и не было, но к теме его не стоит прикреплять hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
snifer67 Опубликовано 26 ноября, 2009 Опубликовано 26 ноября, 2009 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('wbfrfmj'); DeleteService('wbfrfmj'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wbfrfmj'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\wbfrfmj'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Сделайте лог gmer.
Nike_b Опубликовано 26 ноября, 2009 Автор Опубликовано 26 ноября, 2009 Скрипт выполнил, но GMER по прежнему не сканирует, даже в безопасном режиме.
snifer67 Опубликовано 26 ноября, 2009 Опубликовано 26 ноября, 2009 Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Получившийся лог приложите сюда.
Nike_b Опубликовано 6 декабря, 2009 Автор Опубликовано 6 декабря, 2009 Здравствуйте! Извините за отсутствие, делал курсовой проект. Все сделал как Вы говорили. Получившийся лог Report.txt прикрепляю. Report.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти