что-то постоянно лезет в нет. не переключаетя английская раскладка. вылазят сообщения нода о prxjdg.cgi
что-то постоянно лезет в нет. не переключаетя английская раскладка. вылазят сообщения нода о prxjdg.cgi
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\cndrive32.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Dropbox\bin\Dropbox.exe',''); QuarantineFile('C:\WINDOWS\cndrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\system32\21.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe'); DeleteFile('C:\WINDOWS\system32\21.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('C:\WINDOWS\cndrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
Карантин прислал.
1. удалите в MBAM
2. Профиксите в HijackThis как "профиксить в HiJackThis"Код:Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
3. Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R9L40GU2\lol[1].exe',''); QuarantineFile('C:\WINDOWS\innounp.exe',''); QuarantineFile('C:\WINDOWS\system32\25.exe',''); QuarantineFile('C:\WINDOWS\system32\66.exe',''); QuarantineFile('C:\WINDOWS\system32\86.exe',''); QuarantineFile('D:\Distr\проги\guitar\ik_amplitube\keygen\ikamplkg.exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R9L40GU2\lol[1].exe'); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); DeleteFile('C:\RECYCLER\S-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe'); DeleteFile('C:\WINDOWS\innounp.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\system32\66.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог MBAM
Каюсь, пару файлов из карантина удалил антивирус - забыл отключить во время архивации. Остальное загрузилось.
- Выполните скрипт в AVZ
еще что-нибудь беспокоит?Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); end.
Наблюдается странная активнойсть в модеме (вплоть до качания чего-то с приличными скоростями), а нод недавно выдал такое
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
понаблюдайте за проблемой, отпишитесь
Выполнил рекомендованные действия.
Периодически что-то продолжает ломиться в нет, иногда параллельно с этим антивирус указывает на файлы типа
http://208.53.183.222/tcalc.exe
...zbf.exe
...mjs.exe
На днях снова была перестала переключаться раскладка, было поправлено антивирусом, нашел якобы трояна.
Периодически нод орет на одни и те же зараженные файлы в системных папках, удаляет их, после перезагрузки все повторяется.
При старте системы открывается папка "мои документы".
Всю эту заразу я подцепил с чужого незащищенного винта (перед написанием первого сообщения этой темы). Сомневаюсь, что после этого я подцеплял что-то новое.
Проверьте, пожалуйста, логи.
Установите надежные пароли на учетные записи пользователей с правами администратора.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(16); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4158096977-9346503649-071511188-2127\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-4158096977-9346503649-071511188-2127\syscr.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Панель управления - Учетные записи пользователей - Учетные записи пользователей - Сменить пароль.
Сделал.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); ExecuteWizard('TSW', 2, 2, true); DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe'); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
сделал
В логе нет ничего подозрительного.
Очистите карантин. Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\ltzqai.exe - Trojan.Win32.Buzus.euid ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Buzus.HV, AVAST4: Win32:Trojan-gen )
- c:\documents and settings\admin\application data\ltzqai.exe - Trojan.Win32.Dialer.wdb ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Dropper.Agent.VAI, NOD32: Win32/Inject.NDR trojan, AVAST4: Win32:Malware-gen )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\r9l40gu2\lol[1].exe - Trojan.Win32.Buzus.etyy ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RNI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\recycler\s-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe - Trojan.Win32.Buzus.euhk ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Buzus.HU, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\windows\cndrive32.exe - Trojan.Win32.Buzus.eugy ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RNI, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\msvmiode.exe - Email-Worm.Win32.Joleee.fct ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Inject.ZK, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\21.exe - Trojan.Win32.Buzus.etui ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Worm.Generic.266144, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\86.exe - Trojan.Win32.Buzus.etyy ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RNI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) qwertyqwerty11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.