Уже несколько дней борюсь с вирусами на одной из машин, ничего не могу добиться, вновь появляются, вообщем, прикладываю логи и прошу хелпа )
Уже несколько дней борюсь с вирусами на одной из машин, ничего не могу добиться, вновь появляются, вообщем, прикладываю логи и прошу хелпа )
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Common Files\fjOs0r.dll',''); QuarantineFile('C:\WINDOWS\system32\fydoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\55550.dll',''); QuarantineFile('C:\WINDOWS\system32\zxdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\wodoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\wldoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\wgdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\wddoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\tldoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\rxdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\qjdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\qhdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\mydoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\mhdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\dh3oor0.dll',''); QuarantineFile('C:\WINDOWS\system32\dadoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\csdoor0.dll',''); QuarantineFile('C:\WINDOWS\system32\cqdoor0.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\OnlO0r.dll',''); DeleteFile('C:\Program Files\Common Files\fjOs0r.dll'); DeleteFile('C:\WINDOWS\system32\fydoor0.dll'); DeleteFile('C:\WINDOWS\system32\55550.dll'); DeleteFile('C:\WINDOWS\system32\zxdoor0.dll'); DeleteFile('C:\WINDOWS\system32\wodoor0.dll'); DeleteFile('C:\WINDOWS\system32\wldoor0.dll'); DeleteFile('C:\WINDOWS\system32\wgdoor0.dll'); DeleteFile('C:\WINDOWS\system32\tldoor0.dll'); DeleteFile('C:\WINDOWS\system32\rxdoor0.dll'); DeleteFile('C:\WINDOWS\system32\qjdoor0.dll'); DeleteFile('C:\WINDOWS\system32\qhdoor0.dll'); DeleteFile('C:\WINDOWS\system32\mydoor0.dll'); DeleteFile('C:\WINDOWS\system32\mhdoor0.dll'); DeleteFile('C:\WINDOWS\system32\dh3oor0.dll'); DeleteFile('C:\WINDOWS\system32\dadoor0.dll'); DeleteFile('C:\WINDOWS\system32\csdoor0.dll'); DeleteFile('C:\WINDOWS\system32\cqdoor0.dll'); DeleteFile('C:\Program Files\Internet Explorer\OnlO0r.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
2.Пофиксить в HiJackThis
3.Выслать карантин согласно приложению 3 правилКод:O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
4.Ваши настройки:
5.Повторить логи.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED0259A-BECD-41A8-B792-27A93FC443FE}: NameServer = 90.0.0.1
Последний раз редактировалось zerocorporated; 29.10.2007 в 14:47.
пофиксите ...
выполните скрипт ...Код:O2 - BHO: (no name) - {C2626E66-D21B-E628-C1DF-1DACCFA36ED2} - C:\Program Files\Common Files\fjOs0r.dl
пришлите карантин согласно приложения 3 правил...Код:begin BC_DeleteSvc('ICF'); BC_Activate; RebootWindows(true); end.
повторите логи
карантин выслал, логи скоро тоже вышлю, как провериться
итак, новые логи...
выполните скрипт...
повторите логи...Код:begin QuarantineFile('C:\WINDOWS\system32\wddoor0.dll',''); DeleteFile('C:\WINDOWS\system32\wddoor0.dll'); DeleteFile('C:\WINDOWS\system32\M1.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\doctorweb\\quarantine\\fydoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1854)
- c:\\program files\\common files\\fjos0r.dll - Trojan-PSW.Win32.Delf.afe (DrWEB: Trojan.PWS.Qqpass.1484)
- c:\\program files\\handycache\\cache\\204.13.69.178\\images\\h ide\\m1.exe - Trojan-PSW.Win32.Agent.sw (DrWEB: Trojan.PWS.Qqpass.1693)
- c:\\program files\\handycache\\cache\\74.222.3.148\\images\\hi de\\m1.exe - Worm.Win32.AutoRun.amx (DrWEB: Win32.HLLW.Autoruner.78
- c:\\program files\\internet explorer\\onlo0r.bak - Trojan-PSW.Win32.Agent.sw (DrWEB: Trojan.PWS.Qqpass.1693)
- c:\\program files\\internet explorer\\onlo0r.dll - Trojan-PSW.Win32.Agent.sw (DrWEB: Trojan.PWS.Qqpass.1500)
- c:\\windows\\system32\\cqdoor0.dll - Trojan-GameThief.Win32.OnLineGames.gky (DrWEB: Trojan.PWS.Wsgame.1851)
- c:\\windows\\system32\\csdoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1852)
- c:\\windows\\system32\\dadoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1853)
- c:\\windows\\system32\\dh3oor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1644)
- c:\\windows\\system32\\fydoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1855)
- c:\\windows\\system32\\mhdoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1856)
- c:\\windows\\system32\\mydoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1862)
- c:\\windows\\system32\\qhdoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1857)
- c:\\windows\\system32\\qjdoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1863)
- c:\\windows\\system32\\rxdoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1864)
- c:\\windows\\system32\\tldoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1865)
- c:\\windows\\system32\\wddoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.185
- c:\\windows\\system32\\wgdoor0.dll - Trojan-Downloader.Win32.Agent.eqv (DrWEB: Trojan.PWS.Wsgame.1866)
- c:\\windows\\system32\\wldoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1859)
- c:\\windows\\system32\\wodoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1860)
- c:\\windows\\system32\\zxdoor0.dll - Trojan-GameThief.Win32.OnLineGames.rxy (DrWEB: Trojan.PWS.Wsgame.1861)
- c:\\windows\\system32\\55550.dll - Trojan-GameThief.Win32.OnLineGames.glq (DrWEB: Trojan.PWS.Wsgame.1850)
Уважаемый(ая) SonarMaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.