Здравствуйте. Недавно мне помогли очиститься от гадов в этой теме: http://virusinfo.info/showthread.php?p=784944
Только что переустановил систему, поставил нужные проги и опять понял что все начинается. Ошибки explorer.exe, drwtsn32.exe, висит в процессах acleaner.exe, 24.tmp, 46.tmp, в system32 создался файл 01.ехе. Это начальная стадия, поэтому чтобы не запускать, я уже сделал логи и жду ваших ответов! (+ появилась папка в Сетевом окружениее "SharedDocs на RAYA (Microsof-dd0dd9)", которой никогда не наблюдал.
Надеюсь на помощь, ребята. Заранее спасибо.
Последний раз редактировалось Zeereal; 06.05.2011 в 19:13.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\GoRozZo\Application Data\Dnkskv.exe','');
QuarantineFile('C:\Documents and Settings\GoRozZo\Application Data\5D.tmp','');
DeleteFile('C:\Documents and Settings\GoRozZo\Application Data\5D.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\Documents and Settings\GoRozZo\Application Data\Dnkskv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dnkskv');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
BC_ImportAll;
ExecuteWizard('SCU', 2, 2, true);
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Удалите в МВАМ:
Код:
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\documents and settings\GoRozZo\application data\21.tmp (Backdoor.AXE.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\24.tmp (Backdoor.AXE.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\45.tmp (Backdoor.AXE.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\46.tmp (Backdoor.AXE.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\5C.tmp (Backdoor.AXE.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\7A.tmp (Backdoor.AXE.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\7B.tmp (Backdoor.AXE.Gen) -> No action taken.
d:\assasins creed 2\assassins creed ii взломан\assassinscreed ii patch.exe (Trojan.Bancos) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Готово. В автозагрузке непонятные файлы + иероглифы. После перезагрузки компьютера они загружаются и выдают ошибку. Скрин в студии!
PS: Всю жизнь пользовался свзкой NOD32 & Outpost Firewall Pro. Нормальная вообще связка? И можно ли пока обойтись без таких программ, посещая только проверенные сайты и работая с документами?
Последний раз редактировалось Zeereal; 06.05.2011 в 23:38.
Амм, ну незнаю, я перезагружаю компьютер и вылазят куча ошибок (вирусных), в автозагрузке висит пару вирусов, и появляются процессы типо 5d, 41.exe и тп. Долечите меня до конца, доктор!
Новые логи прикрепил
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced HTTPL Enable (Trojan.Agent) -> Value: Advanced HTTPL Enable -> No action taken.
Заражённые файлы:
c:\documents and settings\GoRozZo\application data\1.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\13.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\14.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\1A.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\1B.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\28.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\29.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\2A.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\30.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\C2.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\GoRozZo\application data\C3.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\gorozzo\application data\dnkskv.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\GoRozZo\local settings\Temp\Rar$EX00.735\Keygen\fff-aysabtu.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\GoRozZo\local settings\Temp\Rar$EX01.485\Keygen\fff-aysabtu.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\NFALEDG1\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\GoRozZo\application data\31.tmp (Trojan.Agent) -> No action taken.
aww.. тяжело сказать, возможно да.. пока проявлений не вижу.. вообщем, в любом случае, если чтото возникнет - я сразу опишу.. пока живем так, файрвол и антивирь не ставлю. Но есть пару очень важных вопросов для меня:
1) Как определить, в каком файле сидит эта зараза? Просто я переустановил винду и поставил те проги, которые всегда ставлю (проги не форматировал, только диск Ц). НОД32 ничего не нашел, др.вэб тоже.
2) В сетевом окружении висит эта папка, которую я никогда не видел. Ой не нравится она мне. (скрин прилепил set.jpg)
Последний раз редактировалось Zeereal; 09.05.2011 в 03:45.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: