Здравствуйте, прошу помощи)
такая зараза.... даже в сейф моде запускается!!! и хрен чо сделаешь)
помогло наверное ADSSpy)
вот мои логи
после них я уже удалил sdra64.exe
и пофиксил блокировку regedit)
Здравствуйте, прошу помощи)
такая зараза.... даже в сейф моде запускается!!! и хрен чо сделаешь)
помогло наверное ADSSpy)
вот мои логи
после них я уже удалил sdra64.exe
и пофиксил блокировку regedit)
еще я там прислал карантинчег с тремя потоками )
Добавлено через 49 минут
кх-кх меня заметили?
Последний раз редактировалось Humloves; 21.01.2010 в 01:42. Причина: Добавлено
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nldk.yxo bxwjh F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM') O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\overlapp32.dll',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\nldk.yxo',''); QuarantineFile('C:\WINDOWS\Inf\hidbth.PNF:CZQCEkGWDD',''); DeleteFile('C:\WINDOWS\Inf\hidbth.PNF:CZQCEkGWDD'); DeleteFile('C:\WINDOWS\system32\nldk.yxo'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\overlapp32.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(17); BC_DeleteSvc('NMIndexingService'); BC_DeleteSvc('msupdate'); BC_Activate; RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=68001).
Обновите базы AVZ и сделайте новые логи в нормальном режиме.
I am not young enough to know everything...
Спасибо, повторяю логи
Прислать карантин. Там еще пачка зверья.
Выполнить скрипт:
Повторить станд. скрипт №2. Прислать лог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Safari\rasadhlp.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
отправляю лог и карантин
я в msconfig включил стандартную загрузку
у меня spybot search & destroy обнаружил еще всякую дрянь которая хотела записаться в автозапуск
еще журнальчик спайбота
Багла, похоже словили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
а хто это?
жду дальнейших рекомендаций?
Добавлено через 1 час 28 минут
и как кстати пофиксить все exe-шники ?
firefox отказывается запускаться)
Последний раз редактировалось Humloves; 21.01.2010 в 19:49. Причина: Добавлено
Если действительно это Багл, то лечится придется с LiveCD
Вот эту парочку пришлите по Правилам:
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- \cambriai_ttf_czqcekgwdd.bin - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\program files\internet explorer\rasadhlp.dll - Backdoor.Win32.Delf.sjm
- c:\windows\system32\nldk.yxo - Trojan.Win32.Fregee.e ( DrWEB: Trojan.Siggen.48405, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\overlapp32.dll - Trojan-Spy.Win32.Hascha.bb ( BitDefender: Trojan.Generic.2977721, AVAST4: Win32:Spyware-gen [Spy] )
- \hidbth_pnf_czqcekgwdd.bin - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
- \wmfsdsk_inf_czqcekgwdd.bin - Packed.Win32.Krap.w ( AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Humloves, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.