Просканировал компютеры дрвебем (потом авз и хайджеком), удалено много вирусов. Но всё же есть подозрения, что не вычистил, т.к. страницы в инете долго открываются. Машин три, логи по-отдельности выложу.
Просканировал компютеры дрвебем (потом авз и хайджеком), удалено много вирусов. Но всё же есть подозрения, что не вычистил, т.к. страницы в инете долго открываются. Машин три, логи по-отдельности выложу.
От сетки надо будет машины отключать. Логи от каждой в разные темы, может там разное зверье ползает.
Добавлено через 3 минуты
Отключить А/вирус.
Выполнить скрипт:
Прислать карантин по красной ссылке.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); QuarantineFile('C:\WINDOWS\Temp\winERZoZ6X80yEH.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\jcikuasu.dll',''); QuarantineFile('C:\WINDOWS\system32\ilk.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\Documents and Settings\user\Start Menu\Programs\Startup\userinit.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\baseuknp32.dll',''); TerminateProcessByName('c:\windows\system32\drivers\services.exe'); QuarantineFile('c:\windows\system32\drivers\services.exe',''); DeleteFile('c:\windows\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\baseuknp32.dll'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\Documents and Settings\user\Start Menu\Programs\Startup\userinit.exe'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\system32\jcikuasu.dll'); DeleteFile('C:\WINDOWS\Temp\winERZoZ6X80yEH.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Последний раз редактировалось PavelA; 23.07.2008 в 16:37. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал. Вот новые логи.
Кое-что удалилось ,но не все.
Пойдем другим путем:
Профиксить:
Затем повторить скрипт из моего предыд. сообщения.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\user\svchost.exe O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - Startup: userinit.exe
После него сделать новые логи.
Добавлено через 8 минут
Дополнительно: п.6 в AVZ восст. системы отметить и выполнить.
После этого попробовать отключить "Восст. системы" в ХР.
Последний раз редактировалось PavelA; 23.07.2008 в 17:59. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ругается на странное имя iexplorer. Новый каранти и логи.
userinit.exe_ - Trojan.Win32.Pakes.jwi нужно заменить на чистый ...
выполните скрипт (в нормальном режиме)
повторите логи (в нормальном режиме) !Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\iexplorer.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Новые логи.
пофиксите ...
больше ничего подозрительного ...Код:O18 - Filter hijack: text/html - (no CLSID) - (no file)
Спасибо
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\iexplorer.exe - Trojan.Win32.Pakes.jwc (DrWEB: Trojan.MulDrop.18267)
- c:\\windows\\system32\\baseuknp32.dll - Trojan.Win32.Multis.co
- c:\\windows\\system32\\drivers\\services.exe - Trojan-PSW.Win32.LdPinch.xov (DrWEB: Trojan.DownLoad.3146)
- c:\\windows\\system32\\ilk.exe - Trojan-Proxy.Win32.Slaper.ct (DrWEB: BackDoor.Mailbot)
- c:\\windows\\system32\\jcikuasu.dll - Trojan-PSW.Win32.Delf.bxl (DrWEB: Trojan.Warx.10)
- c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.jwi (DrWEB: Trojan.PWS.Lich)
- c:\\windows\\temp\\winerzoz6x80yeh.exe - Backdoor.Win32.Small.eup (DrWEB: Trojan.MulDrop.18267)
Уважаемый(ая) Ales K, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.