Вирус

**Tr1ck** · 18.04.2010, 10:35

Сообщение от thyrex

Почему их не заменили?

Заменял ! Не знаю почему они инфицированы!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 18.04.2010, 11:55

Еще раз замените и новый лог ComboFix сделайте

**Tr1ck** · 19.04.2010, 07:55

Сообщение от thyrex

Еще раз замените и новый лог ComboFix сделайте

вот

**thyrex** · 19.04.2010, 11:55

Распакуйте файл в папку c:\windows\system32

**Tr1ck** · 19.04.2010, 14:12

Сообщение от thyrex

Распакуйте файл в папку c:\windows\system32

Походу эти файлы были заражены в сборке винды!

**thyrex** · 19.04.2010, 14:47

Распакуйте файл в папку c:\windows\system32

**Tr1ck** · 19.04.2010, 14:59

Сообщение от thyrex

Распакуйте файл в папку c:\windows\system32

Вроде чисто !

**thyrex** · 19.04.2010, 15:02

Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Удалите ComboFix

Установите Internet Explorer 8

**Tr1ck** · 21.04.2010, 18:33

Сообщение от thyrex

Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Удалите ComboFix

Установите Internet Explorer 8

Получили?

**thyrex** · 21.04.2010, 20:51

Нет. Ничего от Вас не получено

**Tr1ck** · 22.04.2010, 22:22

Сообщение от thyrex

Нет. Ничего от Вас не получено

А теперь ?

**thyrex** · 22.04.2010, 22:41

Ничего. Пароль не забыли установить? Адрес правильно указываете?

**Tr1ck** · 23.04.2010, 08:46

Сообщение от thyrex

Ничего. Пароль не забыли установить? Адрес правильно указываете?

А теперь?

**thyrex** · 23.04.2010, 09:27

Теперь вроде пришел

**Tr1ck** · 23.04.2010, 23:35

Сообщение от thyrex

Теперь вроде пришел

сново umdmgr.exe вылез!

**thyrex** · 24.04.2010, 00:02

Обновления на систему, вышедшие после SP3, явно не устанавливали.

Делайте новые логи.

**Tr1ck** · 24.04.2010, 10:40

Сообщение от thyrex

Обновления на систему, вышедшие после SP3, явно не устанавливали.

Делайте новые логи.

syre32 тоже вылез

**thyrex** · 24.04.2010, 15:37

Отключите восстановление системы

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 QuarantineFile('C:\WINDOWS\ndll.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6467654112-0933201672-631333285-7587\wmfcgr.exe','');
 TerminateProcessByName('c:\windows\system32\umdmgr.exe');
 QuarantineFile('c:\windows\system32\umdmgr.exe','');
 TerminateProcessByName('c:\windows\system32\syre32.exe');
 QuarantineFile('c:\windows\system32\syre32.exe','');
 DeleteFile('c:\windows\system32\syre32.exe');
 DeleteFile('c:\windows\system32\umdmgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-6467654112-0933201672-631333285-7587\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\ndll.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','coF2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','covi');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','849');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи