-
Junior Member
- Вес репутации
- 49
svchost.exe ссылается на soft.jajaca.com
после подключения к интернету каспер 2010 года начинает активно убивать вирусные файлы в папке system32, они также создаются папке C:\Documents and Settings\user\Local Settings\Temporary Internet Files. Пробывал чистить винт с другого компа антивирусом Dr.web. не находит помогите пожалуйста.
Последний раз редактировалось Almaz; 22.01.2011 в 18:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\pcidump.sys','');
QuarantineFile('C:\WINDOWS\system32\waitaprnlib.dll','');
QuarantineFile('C:\WINDOWS\ali.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css','');
QuarantineFile('C:\277400.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
DeleteService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\SJV62XOE\G001.exe','');
QuarantineFile('C:\Program Files\relvey.exe','');
QuarantineFile('C:\WINDOWS\system32\QSVIYJPS\E001.exe','');
DeleteService('XieZuueo');
DeleteService('WMMNetworkJbr');
DeleteService('fs');
QuarantineFile('C:\WINDOWS\system32\MiaoshaXP.exe','');
DeleteService('FontViewer');
DeleteFile('C:\WINDOWS\system32\MiaoshaXP.exe');
DeleteFile('C:\WINDOWS\system32\QSVIYJPS\E001.exe');
DeleteFile('C:\Program Files\relvey.exe');
DeleteFile('C:\WINDOWS\system32\SJV62XOE\G001.exe');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
DeleteFile('C:\WINDOWS\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
DeleteFile('C:\WINDOWS\system32\waitaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaitSvc\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Сделал, и отправил, при загрузке системы используются дополнительные параметры от коббоФикса это нормально?
-
Junior Member
- Вес репутации
- 49
-
Еще не все. Не торопитесь
1. c:\windows\System32\drivers\ntfs.sys http://virusinfo.info/showthread.php?t=51654 восстановите с дистрибутива или аналогичной системы
2. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
WaitSvc
WaisSvc
Folder::
c:\windows\system32\BUIIHO1E
c:\windows\system32\B5SGLHDR
c:\windows\system32\A5JNE6K7
c:\windows\system32\A5AU6VRN
c:\windows\system32\AHKSBO20
c:\windows\system32\AHBZ3DAH
c:\windows\system32\8SMX76LT
c:\windows\system32\8RD40VSA
c:\windows\system32\83N24O2N
c:\windows\system32\82EAXDA2
c:\program files\temp
c:\program files\Avwx
c:\program files\srchqvst
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaisSvc"=-
"WaitSvc"=-
FileLook::
DirLook::
c:\windows\share
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Сделал извините что поспешил!
-
Теперь можно и на выписку
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\waitaprnlib.dll - Net-Worm.Win32.Kolab.sdp ( DrWEB: Trojan.MulDrop1.62584, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-QF [Trj] )
-