-
Junior Member
- Вес репутации
- 53
Модифицирован файл hosts
DrWeb выдал сообщение. Я почитал в и-нете и обнаружил, что файл переписывается каждую минуту до 2 мб.
Не работает в и-нет формах переключение клавиатуры на англ. язык.
Летели вырусы во множесте, антивирус их ловил. трафик постоянно летит.
Проверил CureIT, много удалено, выполнил правила.
Направляю файлы.
Последний раз редактировалось atv2010; 21.12.2009 в 07:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\LightScribe\LS_HSI.msi','');
QuarantineFile('C:\WINDOWS\system32\LS_HSI.msi','');
QuarantineFile('C:\WINDOWS\system32\ftcgpk.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Последний раз редактировалось Шапельский Александр; 11.12.2009 в 10:00.
-
-
Junior Member
- Вес репутации
- 53
Не могу запустить avz
При запуске утилиты avz я вижу, что она работает 2-3 сек. и выключается. Нет возможности запустить скрипт.
Распаковал ее заново в новую папку - то же самое. Может быть вредоносная программа ее выключает?
-
Попробуйте еще раз выполнить скрипт.
-
-
Junior Member
- Вес репутации
- 53
Не запускается AVZ
Не работает дольше 3 сек, вылетает или просто не запускается, мгновенно вылетает.
Проверил все DrWeb, он постоянно установлен, ничего нет.
ЦП постоянно загружен на 100 процентов.
Файл hosts я вчера защитил от перезапси, поставив атрибут "только для записи" в защищенном режиме.
Сегодня открыл, оно в течение минуты переисывается на 2 мб.
В защищенном режиме попробовал выполнить AVZ, пишет, что ошибка синтаксиса в скрипте стр.12.1
Если подключить интернет, эксплорер зависает, ничего не могу сделать.
Пишу с другого компьютера, извините, не специалист.
Добавлено через 14 минут
Переименовал, спасибо в "ЧАВО".
Не исполняется, пишт так:
Ошибка: ';' expected в позиции 12:1
Последний раз редактировалось atv2010; 11.12.2009 в 09:39.
Причина: Добавлено
-
После BC_ImportAll; точку с запятой поставьте и выполните скрипт.
-
-
Junior Member
- Вес репутации
- 53
Проверил
Поставил точку с запятой, выполнил. Переименовал AVZ в tur.exe HJ в 11.exe
Направляю файлы.
Последний раз редактировалось atv2010; 21.12.2009 в 07:04.
-
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Выполнил
Выполнил скрипт, присылаю результаты
Последний раз редактировалось atv2010; 21.12.2009 в 07:04.
-
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
QuarantineFile('C:\WINDOWS\system32\ftcgpk.dll','');
QuarantineFile('C:\Program Files\Common Files\LightScribe\LS_HSI.msi','');
QuarantineFile('C:\WINDOWS\Installer\10f506b.msi','');
QuarantineFile('C:\WINDOWS\Installer\{CE386A4E-D0DA-4208-8235-BCE43275C694}\NewShortcut1_C673DF680CDE41FC9DFBF63D31DE4F28.exe','');
QuarantineFile('C:\WINDOWS\Installer\{CE386A4E-D0DA-4208-8235-BCE43275C694}\NewShortcut2_C673DF680CDE41FC9DFBF63D31DE4F28.exe','');
QuarantineFile('C:\WINDOWS\system32\LS_HSI.msi','');
QuarantineFile('C:\System Volume Information\_restore{F747065C-8FD6-4B04-9D8B-CF38B58BD0A6}\RP590\A0067429.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{F747065C-8FD6-4B04-9D8B-CF38B58BD0A6}\RP590\A0067429.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
Сделайте комплект логов(3шт.) по правилам
-
-
Junior Member
- Вес репутации
- 53
Выполнил
При подключении к интернету полетели вирусы, их обнаружил DrWeb.
Последний раз редактировалось atv2010; 21.12.2009 в 07:04.
-
Очистите вручную карантин avz!
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmisrvc.exe');
QuarantineFile('c:\windows\system32\wmisrvc.exe','');
DeleteFile('c:\windows\system32\wmisrvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Выполнил
Направляю файлы. Система работает тяжело, медленно.
Последний раз редактировалось atv2010; 21.12.2009 в 07:04.
-
-
-
Junior Member
- Вес репутации
- 53
Один отчет
Сделал проверку MBAM.
GMER пока не закончил проверку, а унас уже после полуночи.
Анализирует огромные базы по работе. Я их удалю и повторю.
Последний раз редактировалось atv2010; 17.12.2009 в 12:17.
-
Удалите в mbam
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
Заражено папок:
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
Сделаете новый лог mbam
-
-
Junior Member
- Вес репутации
- 53
Есть результаты
Выполнил MBM, правда в два приема.
Затем сделал лог, который высылаю.
Затем проверил Gmer. Лог высылаю.
Файл hosts уже не переписывается. ЦП на 100%, как ранише не занят, явный прогресс.
Простите, если я от радости пишу глупости, но просто пользователь.
Последний раз редактировалось atv2010; 17.12.2009 в 12:17.
-
В логах чисто, что с проблемой?
Добавлено через 2 минуты
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Рекомендую обновить, иначе могут быть проблемы, + установить последние обновления на ОС
Последний раз редактировалось Шапельский Александр; 13.12.2009 в 11:56.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Ответ
То, с чего все началось, кажется, нормально.
Я уже писал, что файл hosts не заменяется, система работает вроде бы хорошо.
Обновление я сделаю обязательно. Этот компьтер используется только для работы с Интернет, в частности для отправки электронной отчетности (занимаюсь бухучетом). Все настраиваю сам, поэтому трудно даются все изменения. Каждый раз обращаться к специалистам не удобно. Работаю давно, были пару лет назад встречи с вирусом, система просто умерла, но я восстановил из образа диска С:, сделанного в день установки опер.системы с помощью Acronis. Надеялся на антивирус.
Сейчас я с Вашей помощью многое понял. Стал читать на Вашем сайте, буду исполнять все рекомендации.
Спасибо Вам. Завтра на работе я подключу к интернету и, если будут проблемы, продолжу эту тему.
Подскажите, пожалуйста. Я частенько чищу компьтер от всякого временного мусора стандартными настройками программы SBMAV Disk Cleaner 2009. Новсегда есть файлы, которые не удаляются: c:\Documents and Set...\Temporary Internet Files\Content.IE5\ примерно такого пути. Это нормально, или должно вызывать сомнение?
-
Сообщение от
atv2010
c:\Documents and Set...\Temporary Internet Files\Content.IE5\
Перед удалением надо закрывать броузер интернет эксплорер. Там временные файлы хранятся.
-