Посмотрите пожалуйста логи, компьтер был заражен.
Сначала при загрузке выскакивало окно csrss.exe мол файл удален и предлагал его восстановить, его отключили через автозагрузку, после стало появляться сообщения об ошибках: не удаеться найти указаный файл в реестре.. к сожалению не могу передать точно сообщение т.к. бумажку выкинули((( ошибки исчезли сами буквально вчера...
Еще все время пытался запуститься файл wmpscfgs.exe, позже actotray.exe, позже groovemonitor.exe везде стояло Runas...
Последний раз редактировалось Kuben; 18.04.2010 в 22:37.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы AVZ и переделайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Базы AVZ не обновляются(((
Сделайте логи полиморфным AVZ (ссылка в моей подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
Выполните скрипт в AVZ
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Лесечка\csrss.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy.exe',''); QuarantineFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe,explorer.exe',''); QuarantineFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\zousoug.exe',''); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\zousoug.exe'); DeleteFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe'); DeleteFile('C:\Users\Лесечка\AppData\Roaming\nisgw.exe,explorer.exe'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy.exe'); DeleteFile('C:\Users\Лесечка\csrss.exe'); DeleteService('efo2o9sez5paiy0i'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','zopymmin'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','zopymmin'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (попробуйте обычным AVZ с обновленными базами)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин загрузил
Базы не обновляются
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Внимание: может отключиться языковая панель. Не пытайтесь восстановить ее самостоятельно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
http://z-oleg.com/secur/avz_up/avzbase.zip - скачать и разархивировать в подпапку Base.
Combofix
Внимание: вирус подменил оригинальные файлы, добавил к имени настоящих файлов пробелы перед расширением
Проверьте, есть ли рядом с указанными файлами аналогичные размером 28672 и, если найдется, удалите их, а легитимным файлам верните их настоящие именаКод:c:\program files\CyberLink\PowerDVD\Language\language .exe c:\program files\Microsoft Office\Office12\groovemonitor .exe c:\program files\QuickTime\qttask .exe
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mivouvissy.exe c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy.exe c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\csrxx.exe c:\program files\internet explorer\wmpscfgs.exe c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\mivouvissy .exe c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\mynoucy .exe Driver:: Folder:: Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zoorugo] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zopymmin] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Security Service] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_Reader] FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Комбо2
Легитимным файлам вернул имена, вирусных файлов-копий не нашел.
Проверьте еще этот файл - c:\programdata\Macrovision\FLEXnet Connect\6\isuspm.exe. Возможно он тоже подменен. Тогда удалите его и удалите лишние пробелы в этом файле
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.Код:c:\programdata\Macrovision\FLEXnet Connect\6\isuspm .exe
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] "command"="c:\programdata\Macrovision\FLEXnet Connect\6\isuspm.exe -scheduler" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "command"="c:\program files\quicktime\qttask.exe -atboottime" FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
c:\programdata\Macrovision\FLEXnet Connect\6\isuspm.exe.
такого файла там нет вообще
Значит этих программ у Вас нет. Убираем остатки в реестре
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\program files\458541304.dat c:\program files\72761455.dat c:\program files\210616.dat c:\program files\292455.dat c:\program files\74225.dat c:\program files\74194.dat Driver:: Folder:: Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению
Последний раз редактировалось thyrex; 19.04.2010 в 10:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пожалуйста
Проблема решена?
Запакуйте, пожалуйста папку, C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да решена!))) Спасиб огромное!
А востановление системы включить?
Не мгу сздать архив...пишет отказан в дступе
Последний раз редактировалось Kuben; 19.04.2010 в 14:31.
Скопируйте на другой диск. После удаления ComboFix попробуйте заархивировать и отправитьСообщение от Kuben
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Kuben, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
