flagro Опубликовано 16 мая, 2009 Поделиться Опубликовано 16 мая, 2009 Здравствуйте. После подключения к интернету компьютер сразу начинает получать и передавать пакеты, когда число переданных и отправленных пакетов достигает 200, на компьютере на всех разделах жесткого диска появляются файлы авторана и файл sss.exe. Так же в процессах появляются процессы H001.exe, J001.exe, ijzab.exe, iyzab.exe и ещё какие-то (они все расположены в папке system32 виндовса) и Spyware-Process-Detector говорит, что три из процессов svchost.exe модифицированы (помимо 7 запущенных svchost'ов, которые Spyware-Process-Detector расценивает как системные процессы). После этого число отправленных пакетов начинает стремительно расти и за достаточно котороткое время число их достигает нескольких миллионов. При попытке запустить Касперского ничего не происходит. Помогите пожалуйста. Логи приложил. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 16 мая, 2009 Поделиться Опубликовано 16 мая, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\sss.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('%SystemRoot%\system32\youming.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe',''); QuarantineFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe',''); QuarantineFile('C:\WINDOWS\System32\smbsvc.dll',''); QuarantineFile('c:\windows\system32\smbctrl.dll',''); QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe',''); QuarantineFile('c:\windows\system32\iyzab.exe',''); TerminateProcessByName('c:\windows\system32\iyzab.exe'); QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe',''); TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\j001.exe'); QuarantineFile('c:\windows\system32\ijzab.exe',''); TerminateProcessByName('c:\windows\system32\ijzab.exe'); QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe',''); TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\h001.exe'); DeleteFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe'); DeleteFile('c:\windows\system32\ijzab.exe'); DeleteFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe'); DeleteFile('c:\windows\system32\iyzab.exe'); DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe'); DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe'); DeleteFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\sss.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\sss.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\sss.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file) Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
flagro Опубликовано 16 мая, 2009 Автор Поделиться Опубликовано 16 мая, 2009 (изменено) Все сделал, карантин отослал. Вроде больше не появляется модифицированный svchost.exe, но при подключении к интернету все равно появляются новые процессы. Так же, сам по себе стал появляться процесс интернет експлорера (IEXPLORE.EXE), хотя я использую только гугл хром. Касперский по-прежнему не запускается, пакеты отправляются (но уже не так много). Файл sss.exe и автораны больше не создаются. Новые логи приложил. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 16 мая, 2009 пользователем flagro Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Поделиться Опубликовано 16 мая, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\Mfc42.tdm',''); QuarantineFile('c:\windows\system32\youming.dll',''); SetServiceStart('fhdos Service', 4); DeleteService('fhdos Service'); DeleteService('Memote'); SetServiceStart('iyzab', 4); SetServiceStart('ijzab', 4); DeleteService('iyzab'); DeleteService('ijzab'); TerminateProcessByName('c:\windows\system32\iyzab.exe'); TerminateProcessByName('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe'); TerminateProcessByName('c:\windows\system32\ijzab.exe'); QuarantineFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe',''); QuarantineFile('c:\windows\system32\iyzab.exe',''); QuarantineFile('c:\windows\system32\ijzab.exe',''); DeleteFile('c:\windows\system32\ijzab.exe'); DeleteFile('c:\windows\system32\iyzab.exe'); DeleteFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe'); DeleteFile('c:\windows\system32\youming.dll'); DelWinlogonNotifyByFileName('c:\windows\system32\youming.dll'); DeleteFile('C:\Program Files\Internet Explorer\Mfc42.tdm'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); BC_DeleteSvc('fhdos Service'); BC_DeleteSvc ('Memote'); BC_DeleteSvc ('iyzab'); BC_DeleteSvc ('ijzab'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Если эта запись внесена не вами, тогда пофиксить в HiJack O1 - Hosts: 208.109.46.212 www.driver-soft.com Сделайте новые логи. Логи AVZ сделать с помощью полиморфного AVZ из моей подписи Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти