После Vba Live CD что-то еще пооставалось.
Активно что-то качает из интернета и записывает вирус на флэшку.
Посмотрите, пожалуйста.
После Vba Live CD что-то еще пооставалось.
Активно что-то качает из интернета и записывает вирус на флэшку.
Посмотрите, пожалуйста.
Последний раз редактировалось Tritan; 14.01.2010 в 17:42.
Пофиксить в Hijack следующие строки:
Выполнить скриптКод:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\cawpjkfg.sys',''); DeleteService('cawpjkfg'); QuarantineFile('C:\WINDOWS\system32\drivers\kernelx86.sys',''); DeleteService('kernelx86'); QuarantineFile('C:\WINDOWS\System32\Drivers\yknaygeh.sys',''); DeleteService('yknaygeh'); QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe',''); QuarantineFile('C:\WINDOWS\system32\av_md.exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\ryrounnem.exe',''); DeleteService('ypu4ef9eiuiufy4x'); QuarantineFile('C:\WINDOWS\system32\Drivers\cawpjkfg.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\zgowevhvti3.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\zgowevhvti3.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\cawpjkfg.sys'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\ryrounnem.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('C:\WINDOWS\system32\av_md.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\Documents and Settings\Администратор\av_md.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\yknaygeh.sys'); DeleteFile('C:\WINDOWS\system32\drivers\kernelx86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\cawpjkfg.sys'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(8); Executerepair(11); Executerepair(16); BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Сделайте лог Gmer
Сделано.
Последний раз редактировалось Tritan; 14.01.2010 в 17:44.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится tblt0bnf.exe (gmer)
И запустите cleanup.bat .Компьютер перезагрузится. Сделать новый лог gmerКод:tblt0bnf.exe -del service jwkrq tblt0bnf.exe -del file "C:\WINDOWS\system32\mkdzhpt.dll" tblt0bnf.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jwkrq" tblt0bnf.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jwkrq" tblt0bnf.exe -reboot
Сделано.
В логе чисто, что с проблемой?
Подключил к интернету. Сетевая активность в норме.
Поставил Нод с обновленными базами на сканирование. Пока нашел с десяток вредоносов. Жду окончания сканирования.
Если нужно и можно как-то его карантин вынуть, то я выну и пришлю.
По аналогии с вот этим моим подопечным компьютером http://virusinfo.info/showthread.php...398#post531398 сделал лог mbam
По-моему, остались следы.
Большую часть понял, но вот там где лог ссылается на стандартные части виндоус меня смущает.
Удалите в MBAM следующее
Сделайте новый лог MBAMКод:Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Заражено значений реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken. C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken. C:\Documents and Settings\Администратор\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken. C:\Documents and Settings\Администратор\secupdat.dat (Worm.Autorun) -> No action taken.
Теперь все чисто.
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Dropper.Win32.HDrop.ac ( DrWEB: Trojan.MulDrop.51829, AVAST4: Win32:Small-NDK [Trj] )
- c:\windows\system32\csrcs.exe - Trojan.Win32.Midgare.uik ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Trojan.Generic.1343018, AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\zgowevhvti3.sys - Rootkit.Win32.Tent.anv ( DrWEB: Trojan.NtRootKit.4884, BitDefender: Rootkit.Agent.AJCC, NOD32: Win32/Rootkit.Agent.NPK trojan, AVAST4: Win32:Agent-AHBJ [Rtk] )
Уважаемый(ая) Tritan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.