Evgencheg 0 Опубликовано 2 февраля, 2010 Share Опубликовано 2 февраля, 2010 (изменено) Здравствуйте, всем! Комп долгое время стоял без какого либо антивируса,но при этом и без и-нета. Была организована только локальная сетка с другим одним компом (вот тот был с и-нетом). После подлючения "выделинки" непосредственно к нему и установке на нём антивиря NOD32. Тот стал периодически "кричать" что находит и удаляет в карантин файлы вируса IRCBot. Позднее появились в нем сообщения и об удалении Conficker.A (.AB, .X), а так же удалении подозрителного файла 26.scr (потом 54.scr, 56.scr, 57.scr и т.д.). На форуме находил подобное, но не сильно похожее (где-то пытался поправить и применить скрипт (из темы с удалением 1.scr) - но неудачно!). Пытался попробывать проверить провериться MicroSoft-овским Online антивирем, тот настойчиво порекомедовал обновить мой XP SP2 до SP3. Обновился до SP3! - NOD32 перестал находить IRCBot, но и обновляться тоже перестал. Всё это время переодически проверял AVZ4 - не видит никого! На текущий момент замечаю что несколько функций перехватываются другой программой (и всё время разной!). Сейчас комп через какое-то время выкидывает сообщение от ошибке с некой службой "Generic Host Process for Win32 Services", ругается при работе со звуком, обрывает соединениес инетом. Все это восстанавливается при перезагрузке. NOD32 по прежнему не обновляется. ЛОГи выкладываю. Зарание благодарю! P.S. Аккурат после открытия темы обновился NOD и нашёл пару файлов Conficker-а. (добавил ScreenSaver его Карантина) hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 2 февраля, 2010 пользователем Evgencheg Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 3 февраля, 2010 Share Опубликовано 3 февраля, 2010 - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wqgmcxrz.dll',''); DeleteFile('C:\WINDOWS\system32\wqgmcxrz.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\onwxq\Parameters','ServiceDll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. - ПК перезагрузится. - Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. - Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь. -Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. - Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 4 февраля, 2010 Автор Share Опубликовано 4 февраля, 2010 После выполнения скрипта со строгим исполнением всех условий поначалу порадовался что всё стало в порядке. Newvirus@kaspersky.com ответили что содержимое архива "безвредно". Но при сборе новых LOGов комп пару раз безосновательно перезапустился и в конечном итоге пропала всякая возможность попасть на сайт форума. Т. к. форум почитывал уже давно и несколько раз вполне успешно применял лечение по ответам в существующих темах понял что сие - это действие вируса. И использовал сохранившуюся софтинку KKiller. Вполне удачно! После работы KKiller-а пересобрал LOGи (чтобы разговор шёл о текущем состоянии машины(предыдущие (до KKiller-а) сохранил и при необходимости оперативно могу отправить) и приложил. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log gmer_scan.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 4 февраля, 2010 Share Опубликовано 4 февраля, 2010 Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 3w3n93mt.exe случайное имя утилиты (gmer) 3w3n93mt.exe -del file "C:\WINDOWS\system32\wqgmcxrz.dll" 3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\onwxq" 3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\onwxq" 3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\onwxq" 3w3n93mt.exe -del reg "HKLM\SYSTEM\ControlSet\Services\onwxq" 3w3n93mt.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 4 февраля, 2010 Автор Share Опубликовано 4 февраля, 2010 cleanup.bat выполнялся и очнь "ругался" (см.ScreenSaverы). лог готов: gmer_scan.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 4 февраля, 2010 Share Опубликовано 4 февраля, 2010 (изменено) Чисто.Что с проблемой? Изменено 4 февраля, 2010 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 4 февраля, 2010 Автор Share Опубликовано 4 февраля, 2010 (изменено) С проблемой? ....пока смотрю! Уже после лечения всё же возникает проблема с сообщением которое комп через какое-то время всё же выкидывает: об ошибке с некой службой "Generic Host Process for Win32 Services", после чего ругается во всех приложениях где должен воспроизводиться звук, при этом даже если приложение и запустилось звука в нём нет. В диспетчере имеется неопределённое устройство (но при этом Звуковой контроллер определен и нормально функционирует). Могу ошибаться, но а мой взгляд так это уже не проделки вируса, а возможно как-то кривовато встало обновление системы до SP3. С этим попробую разобраться самостоятельно. Ежели вирус как-то себя ещё проявит - дам знать! За помощь ОГРОМНОЕ СПАСИБО! Изменено 4 февраля, 2010 пользователем Evgencheg Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 4 февраля, 2010 Share Опубликовано 4 февраля, 2010 Сделайте еще раз логи, может что хелперы смогут вам поправить, и отчет GSI (все в подписи). Сообщение от модератора ТроПа Не стоит полностью цитировать предыдущее сообщение и читать не удобно и Правила нарушаются. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 4 февраля, 2010 Share Опубликовано 4 февраля, 2010 В АВЗ меню Файл--Стандартные скрипты, поставьте галочку возле номера 6 и нажмите внизу выполнить отмеченные скрипты. Перезгрузитесь. Посмотрите, исчезло неопределённое устройство или нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 5 февраля, 2010 Автор Share Опубликовано 5 февраля, 2010 (изменено) Да уж! как оказалось судя по обсуждениям в и-нете: совсем даже не одинок я в своей проблеме. В том числе на "Касперском" тоже обсуждалась( http://forum.kaspersky.com/lofiversion/index.php/t20426.html ). Версий в форумах несколько: вирусы, "дырки" в обновлениях WindowsXP. Проверил обновлением KB958644 (всюду рекомендуемая заплатка KB921883 не стала ставиться (версия обновлений SP3 уже старше)). Уже сутки как пользуюсь - всё "рОвно"! Видимо залатал баг. (но наверное, не исключено что какой-нть из обновлённых файлов был "пакоцан" вирусом). И ещё раз всем СПАСИБО! Всё работает как часы! P.S. Неопознанное устройство в Диспетчере попробывал удалить. Обновил - не появилось! После перезагрузки тоже. (Интересно помогло бы с 6-м скриптом?) P.P.S А логи, наверное, всё же прицеплю: GSI Raport: http://www.getsysteminfo.com/read.php?file...5daf06205fdf21b GetSystemInfo_EVGEN_Женька_2010_02_06_03_32_19.zip hijackthis.log gmer_scan.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 6 февраля, 2010 пользователем Evgencheg Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 6 февраля, 2010 Share Опубликовано 6 февраля, 2010 Чисто Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.