-
Junior Member
- Вес репутации
- 52
новый вирус крипт на высоте
В общем сдела все как указано в правилах. Из доплнительноый инфы в папке system32 полно папок вида
1VHTEI9L
3VK5OBZ2
и тд (толи хеш обрубленный толи рандом)
В них были экзешники
вида
*00*.exe
где * буква или цифра влогах хайджека мы увидим его.
(фаром нашел по максе все экзешники-удалил но опять появляются)
Приаттачил также картинку- нод орал орал..я проверил curit и avp перестал. Сейчас опять.
Восстановление системы отключено.
http://www.sendspace.com/file/jzn05r
Заранее спасибо- самому интересно все победить уже =)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\rjrdd.lib','');
QuarantineFile('C:\WINDOWS\system32\Msiesit32.exe','');
QuarantineFile('C:\WINDOWS\system32\Mcca360.exe','');
QuarantineFile('C:\WINDOWS\system32\3MQ7W9LD\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\pang9.exe','');
QuarantineFile('C:\WINDOWS\system32\upatd60.exe','');
DeleteService('wysdfe360');
DeleteService('pang9');
DeleteService('NationalSer1.5');
DeleteService('mdsfdf60');
DeleteService('Backsround switch');
SetServiceStart('vjty', 4);
DeleteService('vjty');
QuarantineFile('c:\progra~1\netmee~1\nyocy.obj','');
QuarantineFile('c:\docume~1\alluse~1\drm\xfswk.lib','');
TerminateProcessByName('c:\windows\system32\8p5jk8jg\j002.exe');
QuarantineFile('c:\windows\system32\8p5jk8jg\j002.exe','');
DeleteFile('c:\windows\system32\8p5jk8jg\j002.exe');
DeleteFile('c:\docume~1\alluse~1\drm\xfswk.lib');
DeleteFile('c:\progra~1\netmee~1\nyocy.obj');
DeleteFile('C:\WINDOWS\system32\upatd60.exe');
DeleteFile('C:\WINDOWS\system32\pang9.exe');
DeleteFile('C:\WINDOWS\system32\3MQ7W9LD\H001.exe');
DeleteFile('C:\WINDOWS\system32\Mcca360.exe');
DeleteFile('C:\WINDOWS\system32\Msiesit32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nwcworkstation\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\rjrdd.lib');
DeleteFile('H:\autorun.inf');
DeleteFileMask('c:\windows\system32\8p5jk8jg', '*.*', true);
DeleteDirectory('c:\windows\system32\8p5jk8jg');
DeleteFileMask('C:\WINDOWS\system32\3MQ7W9LD', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\3MQ7W9LD');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи и прикрепите их к сообщению через кнопку Расширенный режим
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
done
скрипт выполнил-новые логи вот пароль virus. по красной ссылке отправил тоже =) все как просили
-
Зачем на логи пароль ставить, чтобы нам сложнее было разбираться? В Правилах написано, как прикреплять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
чтож вы ругаетесь, вам пароль сложно ввести?
-
Сообщение от
avzprofi
чтож вы ругаетесь, вам пароль сложно ввести?
Мы - добрые, а вот Вы читать, похоже, не умеете внимательно
Карантин предыдущий отправьте как положено, а не непонятно что в него шлите
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\PROGRA~1\NETMEE~1\nyocy.obj');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Вот новые логи, все по правилам.
-
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
СПАСИБО большое! а скажите что за звери были? тк я так понял,засел лоадер и он накачал вплоть до ддос ботов. а насчет обновлений проще ubuntu поставить
-
Сообщение от
avzprofi
а скажите что за звери были?
Откуда ж мы можем знать, если
Сообщение от
thyrex
Карантин предыдущий отправьте как положено, а не непонятно что в него шлите
так и не было сделано
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-