ЕСТЬ ПОДОЗРЕНИЕ НА НАЛИЧИЕ ВИРУСОВ. ПОСМОТРИТЕ ПОЖАЛУЙСТА!
логи и карантин готовы.
ЕСТЬ ПОДОЗРЕНИЕ НА НАЛИЧИЕ ВИРУСОВ. ПОСМОТРИТЕ ПОЖАЛУЙСТА!
логи и карантин готовы.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('winupd01.exe',''); QuarantineFile('C:\WINDOWS\system32\85.scr',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\85.scr'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(13); ExecuteRepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=76015).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
логи и карантин
Карантин загрузите...
Добавлено через 2 минуты
- Выполните скрипт в AVZ
После перезагрузки:Код:begin ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM.
Последний раз редактировалось polword; 13.04.2010 в 14:31. Причина: Добавлено
карантин загружен.
делайте новые логи
логи .
удалить в MBAM
лог MBAM повторитеКод:Зараженные ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Зараженные папки: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
Добавлено через 2 минуты
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1636473144-0686002220-799814752-9972\nissan.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1636473144-0686002220-799814752-9972\nissan.exe'); DeleteFile('F:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи virusinfo_syscheck.zip; hijackthis.log
Последний раз редактировалось polword; 13.04.2010 в 16:41. Причина: Добавлено
логи.сделаны
В логах чисто
Добавлено через 3 минуты
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
Последний раз редактировалось polword; 13.04.2010 в 21:43. Причина: Добавлено
Все установил и обновил.
сменил антивирус НОД видит в памяти вирус, но убить его не может.
что пишет при этом?
Процес находится в оперативной памяти, очистка невозможна.
Добавлено через 3 часа 1 минуту
Вирус Win32 Rustock
как его убить.
Последний раз редактировалось Евгений Деревянченко; 14.04.2010 в 17:49. Причина: Добавлено
пролечитесь так
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\85.scr - Worm.Win32.AutoRun.hde ( DrWEB: BackDoor.IRC.Bot.267, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Евгений Деревянченко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.