Junior Member
Вес репутации
59
Прощу помощи.
Не так давно к вам обращался.Но вот снова какая-то напасть на мой компьютер и судя по всему не одна. Говорят что компьютер отсылает пакеты(с вирусами) по локальной сети при подключении к интернету.
Но судя по всему это не единственная проблема.
Hijack this у меня не запускается,даже после переименования.
посему прикладываю только логи AVZ.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\xn1i9x.com','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('H:\xn1i9x.com','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('E:\xn1i9x.com','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\xn1i9x.com','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
DeleteService('ddsxeiservice');
QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
QuarantineFile('C:\WINDOWS\system32\nvsvc32.exe','');
QuarantineFile('C:\WINDOWS\system32\wpv911234038185.cpx','');
QuarantineFile('C:\WINDOWS\system32\3076f.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ts_lb.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati1rcxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('c:\documents and settings\localservice\svchost.exe','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
QuarantineFile('c:\program files\common files\teleca shared\capabilitymanager.exe','');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('c:\documents and settings\localservice\svchost.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\3076f.exe');
DeleteFile('cru629.dat');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\xn1i9x.com');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\xn1i9x.com');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\xn1i9x.com');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\xn1i9x.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2. Сделать логи снова
The worst foe lies within the self...
Junior Member
Вес репутации
59
Карантин прислал.
файл buritos.exe не удалился, при запуске windows появляется сообщение об ошибке.
сейчас сделаю логи ещё раз.
Обновите базы AVZ (файл-> обновление баз)... база от 06.04.2008 не актуальна...
В карантине много мусора...
А потом делайте новые логи.
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
вот.
обновление от 24.02, последнее.
и syscheck тоже уже с обновлением.
Вложения
Скачайте этот AVZ http://depositfiles.com/files/821x5y5lf
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('securentm');
DeleteService('Mspppp Agent Service ');
DeleteFile('C:\WINDOWS\system32\wpv911234038185.cpx');
DeleteService('Beep');
DeleteService('ati1rcxx');
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati1rcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('cru629.dat');
DeleteFile('C:\Documents and Settings\User\svchost.exe');
DeleteFile('C:\userinit.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('securentm');
BC_DeleteSvc('Beep');
BC_DeleteSvc('ati1rcxx');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
RebootWindows(true);
end.
Повторите логи...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 40 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\localservice\svchost.exe - Backdoor.Win32.SdBot.jud (DrWEB: Win32.HLLW.Brutus.4667) c:\program files\mywebsearch\bar\1.bin\mwsbar.dll - not-a-virus:WebToolbar.Win32.MyWebSearch.ba (DrWEB: Adware.MWS) c:\windows\system32\buritos.exe - Hoax.Win32.Renos.vaql (DrWEB: Trojan.Packed.580) c:\windows\system32\digeste.dll - Trojan-Dropper.Win32.Agent.agry (DrWEB: Trojan.Botnetlog.1) c:\windows\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.a (DrWEB: Trojan.Fakealert.458) c:\windows\system32\drivers\securentm.sys - Rootkit.Win32.Agent.gvv (DrWEB: Trojan.DownLoad.24465) c:\windows\system32\drivers\services.exe - Backdoor.Win32.SdBot.jud (DrWEB: Win32.HLLW.Brutus.4667) c:\windows\system32\wpv911234038185.cpx - Trojan.Win32.Agent.bqcz d:\autorun.inf - Trojan-GameThief.Win32.OnLineGames.pgs (DrWEB: Win32.HLLW.Autoruner.1215) d:\xn1i9x.com - Worm.Win32.AutoRun.bvz (DrWEB: Trojan.MulDrop.6474) e:\autorun.inf - Trojan-GameThief.Win32.OnLineGames.pgs (DrWEB: Win32.HLLW.Autoruner.1215) e:\xn1i9x.com - Worm.Win32.AutoRun.bvz (DrWEB: Trojan.MulDrop.6474) h:\autorun.inf - Trojan-GameThief.Win32.OnLineGames.pgs (DrWEB: Win32.HLLW.Autoruner.1215) h:\xn1i9x.com - Worm.Win32.AutoRun.bvz (DrWEB: Trojan.MulDrop.6474) i:\autorun.inf - Trojan-GameThief.Win32.OnLineGames.pgs (DrWEB: Win32.HLLW.Autoruner.1215) i:\xn1i9x.com - Worm.Win32.AutoRun.bvz (DrWEB: Trojan.MulDrop.6474)