Junior Member
Вес репутации
53
помогите в сети ccdrive32.exe
При загрузке пользователя (назавем его Х) загружается ccdrive32, и ещё загружаются .exe c трех значными числами. После этого комп валит сервер и не работают программы которые требуют выхода в интернет. Самое интересное, что на этой же машине гружусь другим пользователем вирус не проявляется
Вложения
Последний раз редактировалось pig; 13.01.2010 в 21:05 .
Причина: карантин в теме - моветон
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы AVZ и сделайте новые логи из учетки проблемного пользователя. К сети при этом можно не подключать. Про лог HijackThis также не забудьте.
I am not young enough to know everything...
Junior Member
Вес репутации
53
Вот новые логи от проблемного пользователя
Вложения
Внимание: все действия по лечению необходимо выполнять с правами администратора! Предоставьте такие права текущей учетной записи на время лечения.
1. Отключите восстановление системы!
2. Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\spolikhronidi\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
3. Выполните скрипт в AVZ:
Код:
begin
DeleteFileMask('C:\Documents and Settings\MSOROKO\Local Settings\Temp', '*.*',true);
end.
4. Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
53
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
TerminateProcessByName('c:\windows\system32\avd32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4766731513-1207333283-973705197-1146\msdrive.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
DeleteFile('C:\WINDOWS\system32\avd32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4766731513-1207333283-973705197-1146\msdrive.exe');
DeleteFile('C:\Documents and Settings\dburyakov\Рабочий стол\MSOROKO\Local Settings\Temp\426.exe');
DeleteFile('C:\Documents and Settings\dburyakov\Рабочий стол\MSOROKO\Local Settings\Temp\950.exe');
DeleteFile('C:\Documents and Settings\dburyakov\Рабочий стол\MSOROKO\Local Settings\Temporary Internet Files\Content.IE5\H4D44JH6\andre[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67092 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
53
На этот раз чисто
I am not young enough to know everything...
Junior Member
Вес репутации
53
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\dburyakov\рабочий стол\msoroko\local settings\temporary internet files\content.ie5\h4d44jh6\andre[1].exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\documents and settings\dburyakov\рабочий стол\msoroko\local settings\temp\426.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\documents and settings\dburyakov\рабочий стол\msoroko\local settings\temp\950.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\documents and settings\msoroko\local settings\temp\426.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\documents and settings\msoroko\local settings\temp\950.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\windows\system32\avd32.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Buzus.FU, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Trojan-gen ) c:\windows\system32\umdmgr.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2976544, AVAST4: Win32:Trojan-gen )