-
Junior Member
- Вес репутации
- 55
Проверте пожалуйста логи
Здравствуйте, сегодня переустановил систему. очень долго стали открываться страницы через некоторое время вообще не активны даже не обновляются.Нод32 вот, что пишет...
Файл С:\DOCUNE~1\Temp\BN4C.tmp
Вирус модифицированный Win32/Wifon.KT троян Событие произошло в файле модифицированном приложением. C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.
И так еще 3-4 раза вылазит и не чего с ними сделать нельзя
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\vmnat.exe','');
QuarantineFile('c:\documents and settings\lord^\lord^.exe','');
TerminateProcessByName('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\documents and settings\lord^\lord^.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=48690
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Нод 32 всё равно ругается на вирусы
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
- Очистите темп-папки, кэш проводников и корзину.
- Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
Потом повторите логи.
C:\WINDOWS\Explorer.EXE - пришлите по правилам (Приложение 3)
-
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\vmnat.exe');
TerminateProcessByName('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\windows\vmnat.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
Скрипт вроде бы помог Из за вируса не мог передавать не каких файлов... Но вот на диске C создаться постоянно файл loc
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
Свежие, но уже удаленные:
lord^.exe_ Trojan-Downloader.Win32.Agent.cgox
vmnat.exe_ Backdoor.Win32.SdBot.nhv
Добавлено через 2 минуты
C:\WINDOWS\system\mrsvss.exe - пришлите вот этот файлик на проверку через каранин AVZ.
Последний раз редактировалось PavelA; 26.06.2009 в 15:10.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Карантин выслал... Скажите а при помощи vmnat.exe_ Backdoor.Win32.SdBot.nhv могла бы быть кража паролей?
-
Вот еще один нашелся:
mrsvss.exe - Backdoor.Win32.SdBot.nhv
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('MRSVSS Service');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить станд. скрипт №2. Лог прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
'C:\pac.exe' - это что знаете?
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\pac.exe','');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
DeleteFile('vmnat.exe');
DeleteFile('c:\windows\system\mrsvss.exe');
BC_DeleteFile('c:\windows\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить станд. скрипт №2. Лог прислать.
Карантин загрузить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Вирус по мойму... раньше этого не было сам восстанавливаться после удаления..
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрволл.
Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('MRSVSS Service');
QuarantineFile('c:\windows\wmslives.exe','');
QuarantineFile('c:\windows\system\mrsvss.exe','');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('c:\windows\wmslives.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MRSVSS Service');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
Сообщение от
lordenas
сегодня переустановил систему
При переустановке системы нужно в оффлайне установить последний Сервис Пак, потом идти в сеть...
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Lord^\Local Settings\Temporary Internet Files\Content.IE5\W96N4XQJ\m[1].exe','');
QuarantineFile('C:\WINDOWS\system32\23.scr','');
QuarantineFile('C:\WINDOWS\tstray.exe','');
QuarantineFile('WMSLives.exe','');
DeleteFile('WMSLives.exe');
DeleteFile('C:\WINDOWS\tstray.exe');
DeleteFile('C:\WINDOWS\system32\23.scr');
DeleteFile('C:\Documents and Settings\Lord^\Local Settings\Temporary Internet Files\Content.IE5\W96N4XQJ\m[1].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
Фаерфол у меня никогда не включен т.к vpn соединение если его включить не будет работать интернет
опять появилось в моём компьютере "Веб-папки"
Последний раз редактировалось lordenas; 25.10.2009 в 11:17.
-
Пофиксите в HiJackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
В остальном чисто. Жалобы есть?
-
-
Junior Member
- Вес репутации
- 55
Вроде всё нормально. Всем большое спасибо за помощ!))
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
Последний раз редактировалось Rene-gad; 26.06.2009 в 18:48.
-
-
Junior Member
- Вес репутации
- 55
Извините, что создал новую тему. Сразу не догадался... НА диске С вирус pac. Качает файлы в папку temp в ней нод палит только 1... Ест очень много трафика вот логи проверте пожалуйста
Последний раз редактировалось lordenas; 25.10.2009 в 11:20.