Ряд проблем.Заставка рабочего стола меняется,убиваю вроде вирус,он опять загружается и т.п.
Логи.
Ряд проблем.Заставка рабочего стола меняется,убиваю вроде вирус,он опять загружается и т.п.
Логи.
Последний раз редактировалось Rene-gad; 17.08.2009 в 11:19.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите
-Выполните скриптКод:R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [11778594] C:\Documents and Settings\All Users\Application Data\11778594\11778594.exe O4 - HKLM\..\Run: [PC Antispyware 2010] "C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKCU\..\Run: [windll] C:\Documents and Settings\Âëàäåëåö\Application Data\jwmfx.exe O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('catchme'); QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe',''); QuarantineFile('c:\windows\system32\winagent.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\Владелец\Application Data\jwmfx.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\11778594\11778594.exe',''); QuarantineFile('C:\WINDOWS\TEMP\catchme.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\38997873.sys',''); QuarantineFile('c:\program files\globax\globax_daemon.exe',''); QuarantineFile('c:\documents and settings\all users\application data\rbtprot\sgsrv.exe',''); DeleteFile('c:\documents and settings\all users\application data\rbtprot\sgsrv.exe'); DeleteFile('C:\WINDOWS\system32\DRIVERS\38997873.sys'); DeleteFile('C:\WINDOWS\TEMP\catchme.sys'); DeleteFile('C:\Documents and Settings\All Users\Application Data\11778594\11778594.exe'); DeleteFile('C:\Documents and Settings\Владелец\Application Data\jwmfx.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('c:\windows\system32\winagent.exe'); DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe'); DeleteFileMask('C:\Program Files\PC_Antispyware2010','*.*',true); DeleteDirectory('C:\Program Files\PC_Antispyware2010'); DeleteService('catchme'); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('catchme'); ExecuteRepair(5); SetAVZPMStatus(True); RebootWindows(true); end.
Файл C:\WINDOWS\System32\Drivers\Beep.SYS замените на чистый: http://virusinfo.info/showthread.php?t=51654
- Очистите темп-папки, кэш проводников и корзину.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Сделал,кружочек пропал,но антивирус ругается на некоторые файлы- beep.sys(я его удалил) и cru629.dat
перезагрузился-все по старому
Последний раз редактировалось Rene-gad; 17.08.2009 в 16:21.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите
-Выполните скриптКод:O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKLM\..\Run: [braviax] %w‹Æ^]Â O4 - HKUS\S-1-5-18\..\Run: [braviax] %w‹Æ^]Â (User 'SYSTEM')
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\braviax.exe'); TerminateProcessByName('c:\windows\system32\wisdstr.exe'); StopService('mgelwgutybm'); QuarantineFile('%w‹Ж^]В.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\zydlbv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('c:\windows\system32\wisdstr.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\windows\system32\wisdstr.exe'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\drivers\zydlbv.sys'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('%w‹Ж^]В.exe'); DeleteService('mgelwgutybm'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('mgelwgutybm'); SetAVZPMStatus(True); RebootWindows(true); end.
- Файлы C:\WINDOWS\system32\Drivers\Ntfs.sys и C:\WINDOWS\system32\Drivers\beep.sys замените на чистые: http://virusinfo.info/showthread.php?t=51654
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
новые логи.Вроде все нормуль
В логах ничего подозрительного
- Прочитайте Как не стать завсегдатаем раздела Помогите?
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.Platform: Windows XP SP2 (WinNT 5.01.2600)
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Огромное спасибо.Сделаю как написали.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 45
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-Y [Trj] )
- c:\windows\system32\wisdstr.exe - Trojan-Downloader.Win32.FraudLoad.fem ( BitDefender: Gen:Trojan.Heur.lq1@vnMWkFiix, NOD32: Win32/TrojanDownloader.FakeAlert.AGO trojan, AVAST4: Win32:Fraudo [Trj] )
Уважаемый(ая) serzh841, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.