Посмотрите, пожалуйста, логи, на компьютере постоянно выскакивают от сообщения от Symantec, что на компьютере вирусы...
Посмотрите, пожалуйста, логи, на компьютере постоянно выскакивают от сообщения от Symantec, что на компьютере вирусы...
Последний раз редактировалось ghostil; 13.05.2008 в 12:33.
Отключить антивирус. Выполнить скрипт:
Прислать то, что попадет в карантин. Странно, но много чего в логе AVZ не видно.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\1MF\Cookies\0.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\alt12.exe.exe',''); QuarantineFile('c:\autoex.dll',''); QuarantineFile('qmjb544.exe',''); QuarantineFile('c:\pagefile.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин закачал, сейчас логи выполняю!
Добавлено через 43 секунды
действительно, странно, почему не видно!
Последний раз редактировалось ghostil; 21.04.2008 в 13:06. Причина: Добавлено
C:\Documents and Settings\1MF\Cookies\0.exe - Trojan.DownLoader.origin (Др.Веб)
alt.exe.exe - Trojan.Win32.Agent.juy (по Касперскому)
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.mx
Остальное тоже зверье. Скрипт напишу, будем удалять.
Добавлено через 3 минуты
Чистим:
Делаем новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\1MF\Cookies\0.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\alt12.exe.exe'); DeleteFile('c:\autoex.dll'); DeleteFile('qmjb544.exe'); DeleteFile('c:\pagefile.dll'); BC_ImportAll; ExecutesysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 21.04.2008 в 13:22. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт выполнил, делаю новые логи!
вот новые логи
Последний раз редактировалось ghostil; 13.05.2008 в 12:33.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [advap32] "qmjb546.exe"/r O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\kdexc.exe',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); DeleteFile('C:\WINDOWS\kavir.exe'); DeleteFile('C:\WINDOWS\system32\kdexc.exe'); DeleteFile('C:\WINDOWS\system32\qmjb546.exe'); DeleteFile('C:\WINDOWS\qmjb546.exe'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); DeleteFile('C:\WINDOWS\Temp\BN4.tmp'); DeleteFile('C:\WINDOWS\Temp\BN67.tmp'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21824).
Сделайте новые логи.
I am not young enough to know everything...
карантин я закачал! Сейчас новые логи делаю!=)
kdexc.exe - Packed.Win32.Monder.gen
kavir.exe - Email-Worm.Win32.Zhelatin.xv
I am not young enough to know everything...
новые логи!
Последний раз редактировалось ghostil; 13.05.2008 в 12:33.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Это ваш провайдер:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('kdexc.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если нет пофикситьКод:UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine
Это ваше:Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{C62D0E80-EDAD-453F-9E3E-3D59DDF6494C}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CCS\Services\Tcpip\..\{F82D6A92-CA90-475D-B479-FAB0B3668197}: NameServer = 85.255.115.61,85.255.112.113 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
Повторите лог virusinfo_syscheckG:\autorun.inf
Ссылочка в реестре осталась на kdexc.exe, а ExecuteSysClean такое не отрабатывает.
Надо выполнить скрипт:
Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System'); end.
I am not young enough to know everything...
сейчас выполню... логи больше не делать?=)
Сделайте начиная с п.10 правил на всякий случай.
I am not young enough to know everything...
0.exe_ - Trojan-Downloader.Win32.Winlagons.cw (свежий)
alt12.exe.exe_ - Trojan.Win32.Agent.juy,
qmjb544.exe_ - Trojan-Downloader.Win32.Mutant.mx,
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.nb
autoex.dll - not-a-virus:AdWare.Win32.BHO.ajq
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот новые логи
Последний раз редактировалось ghostil; 16.05.2008 в 13:20.
Логи чистые.
I am not young enough to know everything...
Я бы сказал, что чисто, но не безопасно.
Надо позакрывать все то, что не нужно из сервисов, указанных внизу лога.
Да и от греха подальше отключить автозапуск.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
будет сделано!
Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.