Добрый день!
Помогите пожалуйста: KIS постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет кучу вирусов под названиями j001.exe...d002.exe и т.д.
Прошу помогите исправить проблему до Нового года
Добрый день!
Помогите пожалуйста: KIS постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет кучу вирусов под названиями j001.exe...d002.exe и т.д.
Прошу помогите исправить проблему до Нового года
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ali.exe',''); DeleteFile('C:\WINDOWS\ali.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ'); QuarantineFile('C:\WINDOWS\system32\waifaprnlib.dll',''); QuarantineFile('c:\windows\system32\5ymh2mp7\c19.exe',''); TerminateProcessByName('c:\windows\system32\5ymh2mp7\c19.exe'); DeleteFile('c:\windows\system32\5ymh2mp7\c19.exe'); DeleteFileMask('c:\windows\system32\5ymh2mp7', '*.*', true); DeleteDirectory('c:\windows\system32\5ymh2mp7'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Последний раз редактировалось миднайт; 21.12.2010 в 02:49.
А также:
1. Скачайте Bootkit Remover от eSage Lab http://www.esagelab.com/files/bootkit_remover.rar
2. Распакуйте утилиту и запустите файл remover.exe.
3. Сделайте скриншот окна прежде чем нажать на любую клавишу и приложите его сюда.
-
thnx to Aleksandra
Paula rhei.
Поддержать проект можно тут
polword, файл quarantine.zip загрузил. Спасибо за быстрый отклик
миднайт, сделал скриншот, но получилось 2 окна. Прилагаю:
Проведите лечение http://support.kaspersky.ru/viruses/...?qid=208639606
Выполнить
1. remover.exe dump \\.\PhysicalDrive0 bootvir
2. remover.exe fix \\.\PhysicalDrive0
Файл bootvir запаковать с паролем virus и прислать по красной ссылке Прислать запрошенный карантин вверху темы
Paula rhei.
Поддержать проект можно тут
snifer67, лечение произвел, перезагрузил компьютер. KIS все равно ругается на soft.jajaca.com/lib.zip
миднайт, извиняюсь, не знаю в чем выполнить данные скрипты. Не очень в этом компетентен. Пробовал через Bootkit Remover и через AVZ - не получается =(
Сделайте текстовый документ и скопируйте тудасохраните его как bat-файл в папке с утилитой от eSage Lab и запустите.Код:remover.exe dump \\.\PhysicalDrive0 bootvir remover.exe fix \\.\PhysicalDrive0
Paula rhei.
Поддержать проект можно тут
миднайт, все сделал. =) Дальше? =)
Повторите логи AVZ. KIS продолжает ругаться?
Paula rhei.
Поддержать проект можно тут
миднайт, логи повторил. Все то же самое. KIS пишет "выполняется анализ новой или изменившейся программы", и понеслось: е003.exe, а21. exe, ali.exe и т.д. и т.п., а также подключение к soft.jajaca.com/lib.zip
Что же делать? HELP!!!
Добавлено через 8 минут
В пути C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
постоянно создаются новые папки, к примеру F4HYL4U5, VBDG0LF4. Там и сидят эти файлы а21. exe, ali.exe и т.д.
Последний раз редактировалось Cyber Wolf; 21.12.2010 в 18:24. Причина: Добавлено
- сделайте лог Combofix
Последний раз редактировалось Cyber Wolf; 21.12.2010 в 19:46. Причина: Добавка файла combofix.txt
Дело в том, что при установке SP3 в прошлом, ОС не прошла активацию, пришлось переустанавливать систему. Не уверен, что сейчас здесь стоит лицензионная ОС =(
Добавлено через 1 минуту
Неужели все так плачевно? =( Переустанавливать ОС? Иного выхода нет? =( PS. в папке system32 вирус клонировался многократно =(
Последний раз редактировалось Cyber Wolf; 21.12.2010 в 19:49. Причина: Добавлено
сейчас скрипт напишу подождите
- Выполните скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\windows\system32\winlogon.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Замените файл c:\windows\system32\winlogon.exe на чистый из дистрибутива.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\tlntfpn.dll Driver:: gsigo NetSvc:: gsigo Folder:: c:\windows\system32\AERPJWBY c:\windows\system32\8GOJU7NT c:\windows\system32\75AE2ONB c:\windows\system32\6V6N5W8A c:\windows\system32\5MSJEDAR c:\windows\system32\40VNAQ6C c:\windows\system32\3SG3B5HT c:\windows\system32\2LVYTU2N c:\windows\system32\ZQN5AEZC c:\windows\system32\Y5QB6QWW c:\windows\system32\XTVZ5O2C c:\windows\system32\WVOSNMHH c:\windows\system32\ULTHCJWC c:\windows\system32\TG5PAHTK c:\windows\system32\TVQFLGC8 c:\windows\system32\SFLCE6AC c:\windows\system32\MKCYFV26 c:\windows\system32\M0NAU40E c:\windows\system32\LLEEBW3O c:\windows\system32\KN1K74S5 c:\windows\system32\K1WPFUVC c:\windows\system32\J7ROOWVG c:\windows\system32\JSZDJBJS c:\windows\system32\IBF24HMT c:\windows\system32\F2J53YBS c:\windows\system32\FU1ESPMN c:\windows\system32\E03DRGG7 c:\windows\system32\6FWRF0JR c:\windows\system32\MFI1IDWO c:\windows\system32\KB3HJNMW c:\windows\system32\J6J3NJNX c:\windows\system32\I2F5DR3T c:\windows\system32\7CEMZPA4 c:\windows\system32\SHMEI4B6 c:\windows\system32\KXNL1ZHR c:\windows\system32\K5EYRBR8 c:\windows\system32\KZI60LT0 c:\windows\system32\K445K0ZP c:\windows\system32\JN1GKTNT c:\windows\system32\J5MYHZMO c:\windows\system32\JPW1IF02 c:\windows\system32\JWAM63LB c:\windows\system32\J1WLQIQY c:\windows\system32\JA0QJHRQ c:\windows\system32\JTOMMKUE c:\windows\system32\IQLU41HI c:\windows\system32\IA8Q74L5 c:\windows\system32\IH8IU6G3 c:\windows\system32\IN8AG8C1 c:\windows\system32\I6W5KCFP c:\windows\system32\IQK1NFJE c:\windows\system32\IYN7FDJ4 c:\windows\system32\IIB3IGNS c:\windows\system32\HE4XV043 c:\windows\system32\HW17UUT7 c:\windows\system32\HUP1HLVV c:\windows\system32\HPJVU5D6 c:\windows\system32\SASN37DL c:\windows\system32\KINIHFKT c:\windows\system32\H4T07KCG c:\windows\system32\t Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5610:TCP"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaifSvc"=- "WaigSvc"=- [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsigo] FileLook:: DirLook:: c:\documents and settings\BIG BAD WOLF\7939
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
polword, извиняюсь за доставленные неудобства, но возникла проблема с заменой winlogon.exe. В интернете файл найти не выходит, на диске который путем огромных усилий был найден в самом темном углу шкафа, тоже его не нашлось. Может, файл как-то зашифрован?
Я так понимаю, заменить его надо обязательно, ведь и ComboFix на него ругался... =(
Добавлено через 3 минуты
Мда, новая "фишка" от вируса - C:\WINDOWS\system32\serivces.exe.
Похоже, совсем плохи дела... =(
Последний раз редактировалось Cyber Wolf; 21.12.2010 в 20:47. Причина: Добавлено
карантин последний пришлите
выполните скрипт в combofix и прикрепите новый лог.
p.s.
если не обновите систему- зловреды скорее всего вернутся
Уважаемый(ая) Cyber Wolf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.