..., некоторые приложения тоже.
Вот логи!
ЗЫ: Спасибо ребята за то что вы есть!!! И особенное спасибо за помощь!!
..., некоторые приложения тоже.
Вот логи!
ЗЫ: Спасибо ребята за то что вы есть!!! И особенное спасибо за помощь!!
Последний раз редактировалось Sulako; 06.12.2008 в 15:35.
Полный наборчик:
Загрузить карантин.Код:begin ClearHostsFile; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\kdyuo.exe',''); QuarantineFile('C:\WINDOWS\system32\blphc59lj0ejb1.scr',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); DeleteService('Winxc15'); DeleteService('Winua15'); DeleteService('Winty61'); DeleteService('Winsa84'); DeleteService('Winqv84'); DeleteService('Winjo50'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg83.sys',''); DeleteService('Winbg83'); BC_DeleteSvc('TlntSvrxmlprov'); BC_DeleteSvc('SysmonLogRSVP'); BC_DeleteSvc('seclogonAudioSrv'); BC_DeleteSvc('RemoteAccessEventSystem'); BC_DeleteSvc('helpsvcDnscache'); BC_DeleteSvc('ClipSrvseclogon'); BC_DeleteSvc('AdobeMessenger'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxc15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsa84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjo50.sys'); DeleteFile('C:\WINDOWS\iexplorer.exe'); DeleteFile('C:\WINDOWS\system32\blphc59lj0ejb1.scr'); DeleteFile('C:\WINDOWS\system32\kdyuo.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); BC_Activate; RebootWindows(true); end.
По окончанию лечения надо будет менять пароли.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин закачал, логи делаются!!!
_________________________________
Результат загрузки
Файл сохранён как080715_021924_virus_487c4f7c771ff.zipРазмер файла387551MD58df6110f6ee5a63f4e2ee57efb790d7bФайл закачан, спасибо!
Логи готовы.
Вот они!!!
Последний раз редактировалось Sulako; 06.12.2008 в 15:35.
Профиксить:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Повтори скрипт из предыд. сообщения. Что-то большинство выжило.
После него сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
пофиксил!! провёл скрипт,вот логи
Последний раз редактировалось Sulako; 06.12.2008 в 15:35.
выполните скрипт ...
пришлите карантин согласно приложения 3 правилповторите логи ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\twain_8.dll',''); QuarantineFile('kdyuo.exe',''); BC_DeleteSvc('Winhm04'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm04.sys',''); BC_DeleteSvc('Pdq36'); QuarantineFile('Pdq36.sys',''); QuarantineFile('C:\WINDOWS\system32\pr2ajaqb.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ps6ajaqb.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\pe3ajaqb.sys',''); BC_DeleteSvc('SysmonLogRSVPAppMgmt'); QuarantineFile('c:\windows\system32\mssrv32.exe',''); BC_DeleteSvc('msupdate'); BC_DeleteSvc('ccEvtMgrWmi'); QuarantineFile('c:\windows\system32\userinit.exe',''); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('Pdq36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm04.sys'); DeleteFile('kdyuo.exe'); DeleteFile('C:\WINDOWS\twain_8.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин выслал!!
_________________________________________
Результат загрузки
Файл сохранён как080715_085218_virus_487cab9238067.zipРазмер файла769873MD5e77396e92c1f36fe9cbaeb2a6ba6c642Файл закачан, спасибо!
Вот логи!!
Последний раз редактировалось Sulako; 06.12.2008 в 15:35.
c:\windows\system32\userinit.exe - Trojan.Win32.Pakes.ddu нужно заменить на чистый ....
выполните скрипт ...
повторите логи ....Код:begin BC_DeleteSvc('SysmonLogRSVPAppMgmt'); BC_Activate; RebootWindows(true); end.
Уважаемый(ая) Sulako, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.