-
Junior Member
- Вес репутации
- 57
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\xX8lt5y7.exe','');
QuarantineFile('C:\WINDOWS\system32\qoylib.dll','');
QuarantineFile('C:\WINDOWS\system32\pjzlib.dll','');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\1034329795.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\Documents and Settings\4k\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\4k\svchost.exe','');
QuarantineFile('C:\DOCUME~1\4k\LOCALS~1\Temp\~tmpb.exe','');
QuarantineFile('C:\DOCUME~1\4k\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\docume~1\4k\locals~1\temp\~tmpc.exe','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
QuarantineFile('c:\docume~1\4k\locals~1\temp\a.exe','');
DeleteFile('c:\docume~1\4k\locals~1\temp\a.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('c:\docume~1\4k\locals~1\temp\~tmpc.exe');
DeleteFile('C:\DOCUME~1\4k\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\DOCUME~1\4k\LOCALS~1\Temp\~tmpb.exe');
DeleteFile('C:\Documents and Settings\4k\svchost.exe');
DeleteFile('C:\Documents and Settings\4k\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\WINDOWS\system32\pjzlib.dll');
DeleteFile('C:\WINDOWS\system32\qoylib.dll');
DeleteFile('C:\WINDOWS\system32\xX8lt5y7.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: pjzlibP - {ED04A368-E90F-43CF-BB44-6490F1C294E6} - C:\WINDOWS\system32\pjzlib.dll (file missing)
O2 - BHO: qoylibP - {FC421820-FF29-4EBB-800F-59A7B3BBB00C} - C:\WINDOWS\system32\qoylib.dll (file missing)
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
-
-
Дополнительно еще один скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xX8lt5y7.exe','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\DOCUME~1\4k\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7dyxx.sys','');
BC_DeleteSvc('ati7dyxx');
BC_DeleteSvc('ati6soxx');
BC_DeleteSvc('ati6mixx');
BC_DeleteSvc('ati5jrxx');
BC_DeleteSvc('ati5jfxx');
BC_DeleteSvc('ati4uqxx');
BC_DeleteSvc('ati4qaxx');
BC_DeleteSvc('ati3xtxx');
BC_DeleteSvc('ati3soxx');
BC_DeleteSvc('ati3jfxx');
BC_DeleteSvc('ati2qmxx');
BC_DeleteSvc('ati2pyxx');
BC_DeleteSvc('ati2jfxx');
BC_DeleteSvc('ati2fnxx');
BC_DeleteSvc('ati1avxx');
BC_DeleteSvc('Schedule');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7dyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6wsxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6soxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6mixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5jrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5jfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4uqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4qaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3xtxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3soxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3jfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2qmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2pyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2jfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2fnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1avxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0vrxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0qyxx.sys');
DeleteFile('C:\DOCUME~1\4k\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\xX8lt5y7.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Удалить все задания из "Планировщика".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Проблема пропала!Большое спасибо!!!!Карантин прислал
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Agent.hw (DrWEB: Win32.HLLW.Brutus.466
- c:\\docume~1\\4k\\locals~1\\temp\\a.exe - Trojan.Win32.FraudPack.hwa (DrWEB: Trojan.DownLoad.25727)
- c:\\docume~1\\4k\\locals~1\\temp\\~tmpb.exe - Trojan.Win32.FraudPack.hvz (DrWEB: Trojan.Siggen.1109)
- c:\\docume~1\\4k\\locals~1\\temp\\~tmpc.exe - Trojan.Win32.FraudPack.hws (DrWEB: Trojan.Siggen.1513)
- c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.avhd (DrWEB: BackDoor.Bulknet.320)
- c:\\windows\\system32\\xx8lt5y7.exe - Trojan-Downloader.Win32.Agent.auiv (DrWEB: Trojan.DownLoad.25695)
- c:\\windows\\system32\\1034329795.dll - Rootkit.Win32.Podnuha.bih (DrWEB: Adware.Bho.327)
-