Здравствуйте.
В частности не запускается авз. Логи удалось изготовить только при "убитом" процессе explorer.exe
Прошу посмотреть логи.
Здравствуйте.
В частности не запускается авз. Логи удалось изготовить только при "убитом" процессе explorer.exe
Прошу посмотреть логи.
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:08.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('c:\F\UCK\FK.exe',''); QuarantineFile('C:\C\Settings\cl.exe',''); QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe',''); QuarantineFile('C:\SETUP\DATA\June.exe',''); QuarantineFile('C:\RECYCLED\BIN\ok.exe',''); QuarantineFile('C:\NEXT\FILES\NEXT.exe',''); QuarantineFile('C:\ROOT\SYSTEM\MaY.exe',''); QuarantineFile('C:\DATA\DELETED\POWER.exe',''); QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe',''); QuarantineFile('c:\windows\system32\winagent.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); QuarantineFile('C:\Documents and Settings\valentina\valentina.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\qpk9488.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); QuarantineFile('C:\windows\system32\winagent.exe',''); QuarantineFile('C:\WINDOWS\system32\riodrv.exe',''); QuarantineFile('C:\WINDOWS\system32\ipcmd.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe',''); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system32\riodrv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\Documents and Settings\valentina\valentina.exe'); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe'); DeleteFile('C:\DATA\DELETED\POWER.exe'); DeleteFile('C:\ROOT\SYSTEM\MaY.exe'); DeleteFile('C:\NEXT\FILES\NEXT.exe'); DeleteFile('C:\RECYCLED\BIN\ok.exe'); DeleteFile('C:\SETUP\DATA\June.exe'); DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe'); DeleteFile('C:\C\Settings\cl.exe'); DeleteFile('c:\F\UCK\FK.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('systemntmi'); BC_DeleteSvc('securentm'); BC_DeleteSvc('port135sik'); BC_DeleteSvc('nicsk32'); BC_DeleteSvc('netsik'); BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('i386si'); BC_DeleteSvc('fips32cup'); BC_DeleteSvc('ati64si'); BC_DeleteSvc('amd64si'); BC_DeleteSvc('acpi32'); BC_Activate; ExecuteRepair(9); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-14KC2A323342}'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-14KC2A366632}'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3452432}'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431}'); DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431}'); DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771}'); DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-32KL2R3423321}'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=52276).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
восстановление было отключено после выполнения скрипта 3
карантин: 090817_152857_virus_4a893ef9ba636.zip
новый лог:
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:08.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ipcmd.dll'); DeleteFile('C:\WINDOWS\System32\drivers\qpk9488.sys'); DeleteFile('C:\windows\system32\winagent.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('qpk9488'); BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Выполните это: http://virusinfo.info/showthread.php?t=43700.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
сделал.
Последний раз редактировалось 17_sqrt_2; 08.09.2009 в 00:08.
Теперь чисто. Если проблем больше нет, то осталось установить SP3 + последующие обновления и заменить антивирус на более современный.
I am not young enough to know everything...
спасибо. все сделаю. вот как бы еще руки вправить, чтоб не вляпываться в такое...
Прочитайте Как не стать завсегдатаем раздела Помогите?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\qpk9488.sys - Backdoor.Win32.Agent.ajyu ( AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\svchost.exe - Trojan-Dropper.Win32.Agent.bagp ( DrWEB: Trojan.Click.25482, BitDefender: Gen:Packed.FakeAV.1, NOD32: Win32/TrojanClicker.Agent.NGR trojan, AVAST4: Win32:MalOb-M [Cryp] )
- c:\windows\system32\ipcmd.dll - Trojan-Proxy.Win32.Agent.bro ( BitDefender: Gen:Trojan.Heur.PT.dmOfb4UMA0h, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.jh ( DrWEB: Trojan.DownLoad.5244, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\riodrv.exe - Virus.Win32.Induc.a ( AVAST4: Win32:Induc )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aaga ( NOD32: Win32/Spy.Zbot.JF trojan, AVAST4: Win32:Spyware-gen [Trj] )
- c:\windows\system32\winagent.exe - Trojan-Downloader.Win32.Agent.cnqo ( DrWEB: Trojan.Searcher.56, BitDefender: Gen:Trojan.Heur.dq0@tW6IK!gi, AVAST4: Win32:Fraudo [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) 17_sqrt_2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.