-
Junior Member
- Вес репутации
- 51
Возраждаются вирусы
Здравствуйте! Долгое время не могу избавиться от вирусов. При загрузке системы DrWeb обнаруживает заразу такого типа:
C:\Documents and Settings\Admin\Local Settings\Temp\tmp6123.exe - возможно, инфицирован Trojan.Packed.154
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\SU73VU6L\9[1] - возможно, инфицирован Trojan.Packed.154
C:\Documents and Settings\Admin\Local Settings\Temp\3C32.tmp.dll - инфицирован Trojan.DownLoader.origin
AVZ удалось запустить только с переименоваием файла.
HijackThis -не запускается
На сайт помощи и регистрации смог зайти только через анонимайзер
Логи не загружаютсяЁ поэтому разместил здесь http://slil.ru/28963734
Добавлено через 1 час 9 минут
Замечание данные вирусы периодически возрождаются примерно через десять минут...После удаления Вебом-все по-новой...
Последний раз редактировалось Lion74; 15.04.2010 в 19:20.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('D:\screengrab.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\fvuvciq.exe','');
QuarantineFile('C:\Documents and Settings\Admin\clmkdul.exe','');
QuarantineFile('C:\WINDOWS\system32\NSNDIS5.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\hddirect.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
QuarantineFile('c:\windows\system32\wmicvrts.exe','');
TerminateProcessByName('c:\windows\system32\qtplugin.exe');
QuarantineFile('c:\windows\system32\qtplugin.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\brie7433.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\brie7433.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\brie7433.exe');
DeleteFile('c:\windows\system32\qtplugin.exe');
DeleteFile('c:\windows\system32\wmicvrts.exe');
DeleteFile('C:\Documents and Settings\Admin\clmkdul.exe');
DeleteFile('C:\Documents and Settings\NetworkService\fvuvciq.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится. Выполните второй скрипт
Код:
Begin
CreateQurantineArchive('C:\quarantine.zip');
End.
Закачайте полученный карантин по красной ссылке вверху. Обновите базы АВЗ. Повторите логи
-
-
Junior Member
- Вес репутации
- 51
выкладываю логи. вирусы пока появляться перестали. держу на контроле...
p.s. похоже удается отправка без анонимайзера1
-
Выполните скрипт
Код:
begin
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Файл C:\WINDOWS\System32\svchost.exe необходимо заменить на чистый с дистрибутива http://216.246.90.119/showthread.php?t=51654. Повторите логи virusinfo_syscheck и hijackthis
-
-
Junior Member
- Вес репутации
- 51
файл заменил. логи сохранил...
-
Пофиксите Hijackthis
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Обновите браузер до IE8 (даже если пользуетесь другим). Какие-то проблемы в работе компьютера наблюдаются?
-
-
+ к vegas
повторите лог hijackthis.log
-
-
Junior Member
- Вес репутации
- 51
Не понял как "Пофиксите Hijackthis"-где выполнить приведенный код?
-
-
-
Junior Member
- Вес репутации
- 51
все выполнил. сбоев не наблюдается! Огромное спасибо за помощь!
-
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
JavaRE обновил, большое спасибо за поддержку!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\admin\locals~1\temp\brie7433.exe - Trojan.Win32.Buzus.dryx ( DrWEB: Trojan.Proxy.14029, BitDefender: Trojan.Generic.3638239 )
- c:\windows\system32\qtplugin.exe - Backdoor.Win32.Delf.ufg ( BitDefender: Trojan.PWS.YPE )
- c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.drli ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Generic.3610127, AVAST4: Win32:Kates-AO [Trj] )
- c:\windows\system32\wmicvrts.exe - Net-Worm.Win32.Kolab.hsb ( DrWEB: Win32.HLLW.Autoruner.17477, BitDefender: Gen:Heur.Krypt.10, AVAST4: Win32:Flot-C [Trj] )
-