Как я понял несколько вирусов добрались до основных файлов запуска виндовса. воопщем вот логи думаю сами все увидите. Если каспер как то помешал извините, вроде как закрыл его.
Вложение 119107
Вложение 119108
Вложение 119109
Как я понял несколько вирусов добрались до основных файлов запуска виндовса. воопщем вот логи думаю сами все увидите. Если каспер как то помешал извините, вроде как закрыл его.
Вложение 119107
Вложение 119108
Вложение 119109
Последний раз редактировалось Monolith; 06.11.2009 в 21:25.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RAFN5E7N\pin[1].exe',''); QuarantineFile('C:\WINDOWS\Temp\rdl3F.tmp.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\wzolib.dll',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\wzolib.dll'); DeleteFile('C:\WINDOWS\Temp\rdl3F.tmp.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RAFN5E7N\pin[1].exe'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelBHO('{A7D03020-299A-401D-A9A9-7CCA35E5303E}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Уже лучше, но рабочий стол ещё не видно...
Кого следующим под нож?
Вложение 119387
Вложение 119388
Вложение 119389
упс, забыл, приготовил и забыл... секунду исправлюсь
Последний раз редактировалось Monolith; 06.11.2009 в 21:25.
Карантин почему не прислали?
Добавлено через 3 минуты
"Пофиксите" в HijackThis
Код:O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportDeletedList; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
Последний раз редактировалось light59; 20.03.2009 в 18:51. Причина: Добавлено
По моим ощущениям чисто, что вы скажите?
Вложение 119402
Вложение 119403
Вложение 119404
з.ы, Вопрос, мог ли KIS 2009 со всеми обновлениями пропустить столько заразы? если его не отключили принудительно конечно?
я понимаю что вопрос неоднозначный и вообще это не ваш продукт но из практики чт о томожете сказать?
Последний раз редактировалось Monolith; 06.11.2009 в 21:25.
Установите AdobeReader 9.1 или деинсталлируйте старый.
В логах чисто. Жалобы есть?
Добавлено через 4 минуты
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RAFN5E7N\pin[1].exe - Trojan-PSW.Win32.LdPinch.aekw
Пароли везде поменяйте.
Последний раз редактировалось light59; 20.03.2009 в 19:48. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\rafn5e7n\pin[1].exe - Trojan-PSW.Win32.LdPinch.aekw ( DrWEB: Trojan.PWS.LDPinch.4308 )
- c:\windows\system32\twex.exe - Trojan.Win32.Agent.bwhn ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Gen:Trojan.Heur.GM.1044800800 )
- c:\windows\system32\vmmreg32.dll - Trojan.Win32.Agent.bwho ( DrWEB: BackDoor.Zapinit.106 )
- c:\windows\temp\rdl3f.tmp.exe - Trojan-PSW.Win32.LdPinch.aekw ( DrWEB: Trojan.PWS.LDPinch.4308 )
- \2009-03-20\bcqr00007.dta - Trojan.Win32.Agent.bwhn ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Gen:Trojan.Heur.GM.1044800800 )
- \2009-03-20\bcqr00008.dta - Trojan.Win32.Agent.bwhn ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Gen:Trojan.Heur.GM.1044800800 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Monolith, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.