-
Junior Member
- Вес репутации
- 52
Посмотрите пожалуйста логи, компьтер был заражен.
Сначала при загрузке выскакивало окно csrss.exe мол файл удален и предлагал его восстановить, его отключили через автозагрузку, после стало появляться сообщения об ошибках: не удаеться найти указаный файл в реестре.. к сожалению не могу передать точно сообщение т.к. бумажку выкинули((( ошибки исчезли сами буквально вчера...
Еще все время пытался запуститься файл wmpscfgs.exe, позже actotray.exe, позже groovemonitor.exe везде стояло Runas...
Последний раз редактировалось Kuben; 18.04.2010 в 22:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ и переделайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Базы AVZ не обновляются(((
-
Сделайте логи полиморфным AVZ (ссылка в моей подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Лесечка\csrss.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy.exe','');
QuarantineFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe,explorer.exe','');
QuarantineFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\zousoug.exe','');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\zousoug.exe');
DeleteFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe');
DeleteFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe,explorer.exe');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy.exe');
DeleteFile('C:\Users\Лесечка\csrss.exe');
DeleteService('efo2o9sez5paiy0i');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','zopymmin');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','zopymmin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (попробуйте обычным AVZ с обновленными базами)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин загрузил
Базы не обновляются
-
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Внимание: может отключиться языковая панель. Не пытайтесь восстановить ее самостоятельно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
http://z-oleg.com/secur/avz_up/avzbase.zip - скачать и разархивировать в подпапку Base.
-
-
Junior Member
- Вес репутации
- 52
-
Внимание: вирус подменил оригинальные файлы, добавил к имени настоящих файлов пробелы перед расширением
Код:
c:\program files\CyberLink\PowerDVD\Language\language .exe
c:\program files\Microsoft Office\Office12\groovemonitor .exe
c:\program files\QuickTime\qttask .exe
Проверьте, есть ли рядом с указанными файлами аналогичные размером 28672 и, если найдется, удалите их, а легитимным файлам верните их настоящие имена
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mivouvissy.exe
c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy.exe
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\csrxx.exe
c:\program files\internet explorer\wmpscfgs.exe
c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\mivouvissy .exe
c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy .exe
Driver::
Folder::
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zoorugo]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zopymmin]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Security Service]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_Reader]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Легитимным файлам вернул имена, вирусных файлов-копий не нашел.
-
Проверьте еще этот файл - c:\programdata\Macrovision\FLEXnet Connect\6\isuspm.exe. Возможно он тоже подменен. Тогда удалите его и удалите лишние пробелы в этом файле
Код:
c:\programdata\Macrovision\FLEXnet Connect\6\isuspm .exe
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
"command"="c:\programdata\Macrovision\FLEXnet Connect\6\isuspm.exe -scheduler"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"command"="c:\program files\quicktime\qttask.exe -atboottime"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
c:\programdata\Macrovision\FLEXnet Connect\6\isuspm.exe.
такого файла там нет вообще
-
Значит этих программ у Вас нет. Убираем остатки в реестре
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\program files\458541304.dat
c:\program files\72761455.dat
c:\program files\210616.dat
c:\program files\292455.dat
c:\program files\74225.dat
c:\program files\74194.dat
Driver::
Folder::
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению
Последний раз редактировалось thyrex; 19.04.2010 в 10:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Проблема решена?
Запакуйте, пожалуйста папку, C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Сообщение от
Kuben
Не мгу сздать архив...пишет отказан в дступе
Скопируйте на другой диск. После удаления ComboFix попробуйте заархивировать и отправить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-