Подцепил эту заразу, помогите избавиться. Логи AVZ приложены
Подцепил эту заразу, помогите избавиться. Логи AVZ приложены
Последний раз редактировалось миднайт; 11.05.2011 в 19:27.
Прошу прощения, не тот архив вложил
quarantine.zip уберите из вложений.
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Повторите пункт "Диагностика" правил и приложите все получившиеся логи в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
сделал
Последний раз редактировалось krypper; 11.05.2011 в 22:30. Причина: Добавлены все логи
Пофиксите в Hijack
Выполните скрипт в AVZКод:F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\lgfzaqlo.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\lgfzaqlo.dll',''); DeleteFile('C:\Program Files\Internet Explorer\lgfzaqlo.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\uncunbecf\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\goofpfg\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\lgfzaqlo.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Hijack не нашел файлКарантин выслал.Код:F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe
По поводу Win SP3. У меня SP3
Последний раз редактировалось krypper; 12.05.2011 в 00:33. Причина: Добавлены логи
Обновления установили? Если нет, сделайте это после скрипта
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\admin\Application Data\Uuhuho.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\WINDOWS\ghdrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\57.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\ghdrive32.exe'); DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('cscdll.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll','DLLName'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Microsoft Driver Setup'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Tnaww'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); DeleteFile('C:\Documents and Settings\admin\Application Data\Uuhuho.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uuhuho'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи mbam
Еще раз прошу установить обновления. Без этого избавиться от сетевого червя трудно
Удалите в МВАМ только указанные строкиКод:Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Adware.Rabio) -> No action taken. Заражённые папки: c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken. Заражённые файлы: c:\documents and settings\admin\application data\21.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\2E.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\30.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\3C.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\3E.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\4C4.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\admin\application data\4E1.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\92.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\admin\application data\9B.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\application data\9E.tmp (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-11\avz00001.dta (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-11\avz00002.dta (Trojan.Agent) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-11\avz00003.dta (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-12\avz00001.dta (Trojan.Agent) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-12\avz00002.dta (Trojan.Downloader) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-12\avz00003.dta (Trojan.Agent) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-12\avz00004.dta (Trojan.Agent) -> No action taken. c:\documents and settings\admin\мои документы\downloads\avz4\quarantine\2011-05-12\avz00005.dta (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\CILGLW41\dci[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\GT7LWHG8\dci[1].exe (Trojan.Agent) -> No action taken. f:\RECYCLER\e5188982.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обновления этой ночью устанавливал
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Повторите еще раз логи AVZ и MBAM.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\uuhuho.exe - Backdoor.Win32.Floder.gx ( DrWEB: Trojan.Inject.38421, BitDefender: Trojan.Generic.KD.217312, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:SdBot-HAP [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan-Downloader.Win32.Injecter.fuc ( DrWEB: Trojan.Inject.38501, BitDefender: Trojan.Generic.5945724, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.Small.alwh ( DrWEB: Trojan.Inject.38501, BitDefender: Trojan.Fakealert.26423, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\ghdrive32.exe - Net-Worm.Win32.Kolab.aaxj ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.219665, AVAST4: Win32:Downloader-FTN [Trj] )
- c:\\windows\\system32\\57.exe - Backdoor.Win32.IRCBot.thz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.216014, AVAST4: Win32:Rimecud-M [Wrm] )
Уважаемый(ая) krypper, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.