Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   вирус в winlogon i rundll32.exe (http://forum.oszone.net/showthread.php?t=107291)

genagon 19-05-2008 11:05 805966
вирус в winlogon i rundll32.exe
 
Здравствуйте.
Возникла такая проблема. завелся вирус. не один из антивирусов его не обнаруживает, но в автозагрузке постоянно появлется ссылка на раные dll из папки system32. их удаление сразу же приводит к появлению новых. с помощью process explorer и regmon обнаружил, что в winlogon сидит файл pmnkHXon.dll, которые не удается выгрузить известными мне способами. он же постоянно обновляет записи в реестре и постоянно создает какие-то dll-ки в system32. кроме того, в ветке Run реестра сидит другая dll, которая запускается с rundll32 и не удаляется.
Помогите кто может!!!

Pili 19-05-2008 11:17 805977
genagon, Здравствуйте. Выложите логи по правилам

genagon 19-05-2008 13:31 806070
Вложений: 3
Сделал все как и описанов правилах.
Kaspersky обнаружил нужную dll-ку в безопасном режиме. В обычном kaspersky не загрузился.
AVZ начал работу с 3-м скриптом и появился BSOD c диагностикой driver_irq_not_less_or_equal. И безопасном режиме этого не было.
со 2-м скриптом все нормально.
HiJackThis работает тоже нормально.
dss создал только файл main

Pili 19-05-2008 14:56 806132
Деинсталлируйте FlashGet,
Цитата:
System Restore: enabled
Отключите восстановление системы, на время выполнения скрипта выключите антивирус и firewall, отключите интернет.
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('drisviio');
 SetServiceStart('drisviio', 4);
 StopService('Cdateneaqdnw');
 SetServiceStart('Cdateneaqdnw', 4);
 StopService('HService');
 QuarantineFile('C:\Downloads\Golden.Eye.v4.50.Incl.Keygen-SSG.rar','');
 QuarantineFile('C:\WINDOWS\System32\mlJBSmLC.dll','');
 QuarantineFile('C:\WINDOWS\System32\ycrwvvof.dll','');
 QuarantineFile('C:\Program Files\HFXP2\hfxp.exe','');
 QuarantineFile('pmnkHXon.dll','');
 QuarantineFile('C:\WINDOWS\system32\pmnkHXon.dll','');
 QuarantineFile('C:\WINDOWS\System32\lcnqkqji.dll','');
 QuarantineFile('C:\WINDOWS\System32\drisviio.sys','');
 QuarantineFile('drisviio.sys','');
 QuarantineFile('C:\WINDOWS\System32\Cdateneaqdnw.sys','');
 QuarantineFile('Cdateneaqdnw.sys','');
 QuarantineFile('C:\Program Files\HandyScheduler\HSService.exe','');
 DeleteService('drisviio');
 DeleteService('Cdateneaqdnw');
 DeleteFile('C:\WINDOWS\System32\Cdateneaqdnw.sys');
 DeleteFile('Cdateneaqdnw.sys');
 DeleteFile('C:\WINDOWS\System32\drisviio.sys');
 DeleteFile('drisviio.sys');
 DeleteFile('C:\WINDOWS\System32\lcnqkqji.dll');
 DeleteFile('C:\WINDOWS\system32\pmnkHXon.dll');
 DeleteFile('pmnkHXon.dll');
 DeleteFile('C:\WINDOWS\System32\ycrwvvof.dll');
 DeleteFile('C:\WINDOWS\System32\mlJBSmLC.dll');
 DeleteFile('C:\Downloads\Golden.Eye.v4.50.Incl.Keygen-SSG.rar');
 DelBHO('{F7F6584C-864B-411D-A410-BB2DE0D33CA1}');
 DelBHO('{D094D6BE-0CAC-4DF5-96CB-7175E529B0F3}');
 DelBHO('{775e240a-27b0-425c-94c4-101c79eb8498}');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('HService')
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {21615033-A029-4BB7-A527-F9DFB25DEFA7} - C:\WINDOWS\System32\mlJBSmLC.dll
O2 - BHO: {8948be97-c101-4c49-c524-0b72a042e577} - {775e240a-27b0-425c-94c4-101c79eb8498} - C:\WINDOWS\System32\ycrwvvof.dll
O2 - BHO: (no name) - {F7F6584C-864B-411D-A410-BB2DE0D33CA1} - C:\WINDOWS\system32\pmnkHXon.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - Winlogon Notify: pmnkHXon - C:\WINDOWS\SYSTEM32\pmnkHXon.dll
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected", откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.


Цитата:
Platform: Windows XP SP1 (WinNT 5.01.2600)
установите SP2 и все остальные патчи после него, если что-то отключали через msconfig - включите, повторите все логи, avptool_syscheck.zip не нужен

genagon 19-05-2008 16:19 806183
Сделал указанные Вами действия. Файл выслал. Вирусы удалились. Большое спасибо за помощь!!!

Pili 19-05-2008 16:43 806209
Цитата:
Цитата Pili
установите SP2 и все остальные патчи после него, если что-то отключали через msconfig - включите, повторите все логи »


Время: 23:45.

Время: 23:45.
© OSzone.net 2001-