flagro Опубликовано 16 мая, 2009 Опубликовано 16 мая, 2009 Здравствуйте. После подключения к интернету компьютер сразу начинает получать и передавать пакеты, когда число переданных и отправленных пакетов достигает 200, на компьютере на всех разделах жесткого диска появляются файлы авторана и файл sss.exe. Так же в процессах появляются процессы H001.exe, J001.exe, ijzab.exe, iyzab.exe и ещё какие-то (они все расположены в папке system32 виндовса) и Spyware-Process-Detector говорит, что три из процессов svchost.exe модифицированы (помимо 7 запущенных svchost'ов, которые Spyware-Process-Detector расценивает как системные процессы). После этого число отправленных пакетов начинает стремительно расти и за достаточно котороткое время число их достигает нескольких миллионов. При попытке запустить Касперского ничего не происходит. Помогите пожалуйста. Логи приложил. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
ТроПа Опубликовано 16 мая, 2009 Опубликовано 16 мая, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\sss.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('%SystemRoot%\system32\youming.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe',''); QuarantineFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe',''); QuarantineFile('C:\WINDOWS\System32\smbsvc.dll',''); QuarantineFile('c:\windows\system32\smbctrl.dll',''); QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe',''); QuarantineFile('c:\windows\system32\iyzab.exe',''); TerminateProcessByName('c:\windows\system32\iyzab.exe'); QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe',''); TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\j001.exe'); QuarantineFile('c:\windows\system32\ijzab.exe',''); TerminateProcessByName('c:\windows\system32\ijzab.exe'); QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe',''); TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\h001.exe'); DeleteFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe'); DeleteFile('c:\windows\system32\ijzab.exe'); DeleteFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe'); DeleteFile('c:\windows\system32\iyzab.exe'); DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe'); DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe'); DeleteFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\sss.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\sss.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\sss.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file) Повторите логи.
flagro Опубликовано 16 мая, 2009 Автор Опубликовано 16 мая, 2009 (изменено) Все сделал, карантин отослал. Вроде больше не появляется модифицированный svchost.exe, но при подключении к интернету все равно появляются новые процессы. Так же, сам по себе стал появляться процесс интернет експлорера (IEXPLORE.EXE), хотя я использую только гугл хром. Касперский по-прежнему не запускается, пакеты отправляются (но уже не так много). Файл sss.exe и автораны больше не создаются. Новые логи приложил. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 16 мая, 2009 пользователем flagro
thyrex Опубликовано 16 мая, 2009 Опубликовано 16 мая, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\Mfc42.tdm',''); QuarantineFile('c:\windows\system32\youming.dll',''); SetServiceStart('fhdos Service', 4); DeleteService('fhdos Service'); DeleteService('Memote'); SetServiceStart('iyzab', 4); SetServiceStart('ijzab', 4); DeleteService('iyzab'); DeleteService('ijzab'); TerminateProcessByName('c:\windows\system32\iyzab.exe'); TerminateProcessByName('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe'); TerminateProcessByName('c:\windows\system32\ijzab.exe'); QuarantineFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe',''); QuarantineFile('c:\windows\system32\iyzab.exe',''); QuarantineFile('c:\windows\system32\ijzab.exe',''); DeleteFile('c:\windows\system32\ijzab.exe'); DeleteFile('c:\windows\system32\iyzab.exe'); DeleteFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe'); DeleteFile('c:\windows\system32\youming.dll'); DelWinlogonNotifyByFileName('c:\windows\system32\youming.dll'); DeleteFile('C:\Program Files\Internet Explorer\Mfc42.tdm'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(9); BC_DeleteSvc('fhdos Service'); BC_DeleteSvc ('Memote'); BC_DeleteSvc ('iyzab'); BC_DeleteSvc ('ijzab'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Если эта запись внесена не вами, тогда пофиксить в HiJack O1 - Hosts: 208.109.46.212 www.driver-soft.com Сделайте новые логи. Логи AVZ сделать с помощью полиморфного AVZ из моей подписи
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти