Посмотрите еще плиз логи с этого компьютера, заранее благодарен.
второй комп смс на номер 6008
Посмотрите еще плиз логи с этого компьютера, заранее благодарен.
Последний раз редактировалось SlyAss; 20.08.2009 в 14:08.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\analitik\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - *{95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Policies\Explorer\Run: [Inside] C:\WINDOWS\system32\gread32.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\mms18k18k.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\csrcs.exe'); TerminateProcessByName('c:\docume~1\analitik\locals~1\temp\rarsfx5\25mmk.exe'); StopService('scnet'); QuarantineFile('G:\vgqbcn.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\mms18k18k.dll',''); QuarantineFile('C:\WINDOWS\system32\gread32.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('Explorer.exe csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\scnet.sys',''); QuarantineFile('C:\DOCUME~1\analitik\LOCALS~1\Temp\FEab0WYy.sys',''); QuarantineFile('\systemroot\system32\drivers\imnwxrpqsbpxuicq.sys',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); QuarantineFile('c:\docume~1\analitik\locals~1\temp\rarsfx5\25mmk.exe',''); DeleteFile('c:\docume~1\analitik\locals~1\temp\rarsfx5\25mmk.exe'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('\systemroot\system32\drivers\imnwxrpqsbpxuicq.sys'); DeleteFile('C:\DOCUME~1\analitik\LOCALS~1\Temp\FEab0WYy.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\scnet.sys'); DeleteFile('Explorer.exe csrcs.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\gread32.exe'); DeleteFile('C:\WINDOWS\system32\mms18k18k.dll'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\vgqbcn.exe'); DeleteFileMask('c:\docume~1\analitik\locals~1\temp','*.*',true); DeleteService('scnet'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('scnet'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось Rene-gad; 06.08.2009 в 16:39.
скрипт не выполняется, говорит: Ошибка ')' expected в позиции 29:54
Нашёл. Исправил. ИзвинитеСообщение от SlyAss
теперь компьютер при вводе пароля загружает параметры пользователя, и не загружается , уходит в перезагрузку((( О_о загрузился с третьей попытки, но опять заблокировн експлорер, сейчад логи на нем сделаю
Последний раз редактировалось SlyAss; 06.08.2009 в 17:01.
- Выполните скрипт
После перезагрузки проинформируйте о состоянии ПК.Код:begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); RebootWindows(true); end.
логи не делать? а то уже сделались почти
Если делаются - то давайте логи, глянем заодно что там ещё осталось.
сделал
Последний раз редактировалось SlyAss; 20.08.2009 в 14:08.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\Media\sound.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\SKYNETqdtpypkf.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\SKYNETqdtpypkf.sys'); QuarantineFile('c:\windows\system32\drivers\SKYNETtrokwhcb.sys',''); DeleteFile('c:\windows\system32\drivers\SKYNETtrokwhcb.sys'); QuarantineFile('c:\windows\system32\SKYNETpgbhswmj.dll',''); DeleteFile('c:\windows\system32\SKYNETpgbhswmj.dll'); QuarantineFile('c:\windows\system32\SKYNETlarcxikb.dll',''); DeleteFile('c:\windows\system32\SKYNETlarcxikb.dll'); QuarantineFile('c:\windows\system32\SKYNETqacstmhq.dll',''); DeleteFile('c:\windows\system32\SKYNETqacstmhq.dll'); QuarantineFile('c:\windows\system32\SKYNETcmawdskg.dll',''); DeleteFile('c:\windows\system32\SKYNETcmawdskg.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Windows\Media\sound.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.batКод:gmer.exe -del service SKYNETatvpxidt gmer.exe -del service SKYNETocnogyph gmer.exe -del file "c:\windows\system32\drivers\SKYNETtrokwhcb.sys" gmer.exe -del file "c:\windows\system32\SKYNETpgbhswmj.dll" gmer.exe -del file "c:\windows\system32\SKYNETnvpccyye.dat" gmer.exe -del file "c:\windows\system32\SKYNETlarcxikb.dll" gmer.exe -del file "c:\windows\system32\SKYNETnoknasuy.dat" gmer.exe -del file "c:\windows\system32\drivers\SKYNETqdtpypkf.sys" gmer.exe -del file "c:\windows\system32\SKYNETqacstmhq.dll" gmer.exe -del file "c:\windows\system32\SKYNETanwkiijt.dat" gmer.exe -del file "c:\windows\system32\SKYNETcmawdskg.dll" gmer.exe -del file "c:\windows\system32\SKYNETethwgfll.dat" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETatvpxidt" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETocnogyph" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETatvpxidt" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETatvpxidt" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETocnogyph" gmer.exe -reboot
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
как размножается этот вирус? он еще на одном компе появился((
сделал
Последний раз редактировалось SlyAss; 11.09.2009 в 14:35.
Дырявую систему давно пора обновлять
Если рабочий антивирус AVG, то кто будет Symantec удалять?
C:\WINDOWS\ArgoUpdate.cmd - что это за файл?
Пофиксить в HiJack
ПерезагрузитьсяКод:R3 - URLSearchHook: (no name) - *{95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
Сделать новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
симантек что то не хотел удаляться, я и забил на него, argoupdate это обновление рабочей проги.
Последний раз редактировалось SlyAss; 11.09.2009 в 14:35.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) SlyAss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
