Товарищи лечащие, советующие и спасающие обратите пожалуйста на меня свои взоры. С ночи висит безответный запрос, чем я Вам не глянулся.
Повторно прикладываю логи сюда.
http://virusinfo.info/showthread.php?t=67017
Товарищи лечащие, советующие и спасающие обратите пожалуйста на меня свои взоры. С ночи висит безответный запрос, чем я Вам не глянулся.
Повторно прикладываю логи сюда.
http://virusinfo.info/showthread.php?t=67017
Простой вопрос: У Вас а/вирус обновляется? Просто в логах столько старых малваре, что просто жуть
Профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hedl.qlo printer F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\navw32.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\sdra64.exe,
прислать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\\?\globalroot\systemroot\system32\ccda_v8.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\navw32.exe',''); QuarantineFile('C:\Symantec Norton Utilities Pack 2006\setup\Support\windoc.exe',''); BC_DeleteSvc('Winxd04'); BC_DeleteSvc('Winbg84'); BC_DeleteSvc('Winch27'); BC_DeleteSvc('Winjo61'); BC_DeleteSvc('Winkp15'); BC_DeleteSvc('Winrw37'); BC_DeleteSvc('Winaf38'); BC_DeleteSvc('Wch62'); BC_DeleteSvc('Vbg38'); BC_DeleteSvc('Uae50'); BC_DeleteSvc('Rwc05'); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); BC_DeleteSvc('Pua84'); BC_DeleteSvc('protect'); BC_DeleteSvc('Jot51'); QuarantineFile('C:\WINDOWS\System32\Drivers\Chl50.sys',''); BC_DeleteSvc('Chl50'); DeleteService('srserviceWebClient'); QuarantineFile('srserviceWebClient.sys',''); BC_DeleteSvc('FCI'); QuarantineFile('FCI.sys',''); DeleteFile('FCI.sys'); DeleteFile('srserviceWebClient.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Chl50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jot51.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pua84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rwc05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Uae50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vbg38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wch62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winaf38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjo61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd04.sys'); DeleteFile('C:\WINDOWS\system32\navw32.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5O7\n-bss[2].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за ответ, антивирус обновляется.
Стоит DrWeb v.4.44.
Все то, что в system32 жило, ему не мешало.
Логи прикрепил, карантин после последнего сканирования чист.
Вчера при сканировании AVZ DrWeb и уж тут он постарался
2-01-2010 15:54:45 [CL] (PID = 1500) C:\Program Files\avz4\Infected\2010-01-12\avz00001.dta - infected with Trojan.Mylbot.6
12-01-2010 15:54:58 [CL] (PID = 1500) C:\Program Files\avz4\Infected\2010-01-12\avz00001.dta - blocked
12-01-2010 16:37:24 [CL] (PID = 2296) C:\Program Files\avz4\Infected\2010-01-12\avz00002.dta - инфицирован Trojan.PWS.Banker.36485
12-01-2010 16:37:29 [CL] (PID = 2296) C:\Program Files\avz4\Infected\2010-01-12\avz00002.dta - доступ к файлу запрещен
12-01-2010 16:37:30 [CL] (PID = 2296) C:\Program Files\avz4\Quarantine\2010-01-12\avz00001.dta - инфицирован Trojan.Inject.6510
12-01-2010 16:37:31 [CL] (PID = 2296) C:\Program Files\avz4\Quarantine\2010-01-12\avz00001.dta - доступ к файлу запрещен
О своих настройках DrWeb в логе пишет:
3-01-2010 10:10:14 Started on \\ALEXANDR
13-01-2010 10:10:14
13-01-2010 10:10:14 Рабочий каталог: C:\Program Files\DrWeb
13-01-2010 10:10:14 Режим загрузки: Автоматический, на старте системы
13-01-2010 10:10:14 Режим проверки "на лету": Оптимальный
13-01-2010 10:10:14 Расширенная защита: Включена
13-01-2010 10:10:14 Эвристика: Включена
13-01-2010 10:10:14 Объекты фильтруются: Нет фильтра, проверяются все файлы
13-01-2010 10:10:14 Путь для карантина: C:\Program Files\DrWeb\infected.!!!
13-01-2010 10:10:14 Проверка работающих программ и модулей: Включена
13-01-2010 10:10:14 Проверка файлов в архивах: Выключена
13-01-2010 10:10:14 Проверка почтовых файлов: Выключена
13-01-2010 10:10:14 Проверка объектов в локальной сети: Выключена
13-01-2010 10:10:14 Проверка объектов на съемных носителях: Включена
13-01-2010 10:10:14 Защищать файл конфигурации Dr.Web: Выключена
Может что поправить?
Последний раз редактировалось danko; 13.01.2010 в 10:52. Причина: поведение DrWeb
Пофиксите в HijackThis:
В остальном чисто.Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
Trojan.PWS.Banker.36485 - пароли на сторону ушли. Надо менять.
отключать надо на время работы с AVZ а/вирус. А то он весь карантин испортил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Поговорку про бережёного знаете, наверное...
Уважаемый(ая) danko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.