-
Junior Member
- Вес репутации
- 52
Вирусы опять как живые после перезагрузки
Пробовал удалять Куритом и Касперским, но после перезагрузки все вирусы восстанавливаются. Проявляются очень сильным торможением интернет-браузеров, иногда вовсе ничего в и-нете открывается, даже стартовая страница. Однако если что-то качаю - скорость загрузки файлов максимальная... Вся надежда на вас, помогите, люди добрые вытравить тараканов
Простите за тупость, вначале не так загрузил логи, сейчас вроде правильно
Последний раз редактировалось **Alex**; 30.04.2010 в 16:03.
Причина: Тупость
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы и переделайте логи в обычном режиме!
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
DefesT
Обновите базы и переделайте логи в обычном режиме!
Вот, вроде правильно сделал
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\05.scr','');
QuarantineFile('C:\WINDOWS\system32\64.scr','');
QuarantineFile('C:\WINDOWS\system32\11.scr','');
QuarantineFile('\CLEANSWEEP.EXE','');
TerminateProcessByName('c:\windows\system32\instmiv.exe');
QuarantineFile('c:\windows\system32\instmiv.exe','');
DeleteFile('c:\windows\system32\instmiv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('\CLEANSWEEP.EXE');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
DeleteFile('C:\WINDOWS\system32\11.scr');
DeleteFile('C:\WINDOWS\system32\64.scr');
DeleteFile('C:\WINDOWS\system32\05.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин отправил, вот новые логи
В корне диска С сидит файл со странным именем m6u6o6o4w1w2.exe, пробовал его снести - после перезагрузки он опять нарисовался...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\Instmiv.exe
Driver::
ewmryeljo
NetSvc::
ewmryeljo
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3905:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Все сделал, но почему-то ComboFix завис на этапе формирования отчета. Подождал полчаса, потом всю процедуру повторил - теперь все прошло удачно.
-
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('c:\windows\Cookies', '*.*', true);
DeleteDirectory('c:\windows\Cookies');
end.
Больше плохого не видно
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Все по старому
Скрипт выполнил.
Сообщение от
thyrex
Больше плохого не видно
После чистки ComboFix интернет заработал нормально, но потом браузер завис вообще. Перезагрузился - опять все по старому : интернет тормозит, файл m6u6o6o4w1w2.exe опять в корне С, в процессах выполняется Instmiv.exe и может еще какая гадость... Сейчас вот пишу - вдруг нижняя панель WinXP вдруг на пару секунд стала серой, потом восстановила синий цвет
Добавлено через 24 минуты
Попробовал вручную остановить процесс Instmiv.exe - интернет залетал как обычно.
Добавлено через 2 часа 5 минут
Сообщение от
thyrex
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Письмо с отправленным архивом от Вас вернулось потому как Our system detected an illegal attachment on your message
Последний раз редактировалось **Alex**; 02.05.2010 в 16:47.
Причина: Добавлено
-
Обновления, вышедшие после SP3, все установлены?
Давайте еще раз логи + лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Обновления, вышедшие после SP3, все установлены?
Сегодня вот загрузилась куча обновлений +IE8 (до этого ничего не обновлял, как купил комп полгода назад (с SP3).
Вот свежие логи
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\instmiv.exe');
QuarantineFile('c:\windows\system32\instmiv.exe','');
QuarantineFile('C:\WINDOWS\system32\54.scr','');
QuarantineFile('C:\WINDOWS\system32\70.scr','');
QuarantineFile('C:\WINDOWS\system32\08.scr','');
QuarantineFile('C:\WINDOWS\system32\82.scr','');
QuarantineFile('C:\WINDOWS\system32\67.scr','');
QuarantineFile('C:\WINDOWS\system32\65.scr','');
QuarantineFile('C:\WINDOWS\system32\07.scr','');
DeleteFile('C:\WINDOWS\system32\07.scr');
DeleteFile('C:\WINDOWS\system32\65.scr');
DeleteFile('C:\WINDOWS\system32\67.scr');
DeleteFile('C:\WINDOWS\system32\82.scr');
DeleteFile('C:\WINDOWS\system32\08.scr');
DeleteFile('C:\WINDOWS\system32\70.scr');
DeleteFile('C:\WINDOWS\system32\54.scr');
DeleteFile('c:\windows\system32\instmiv.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\Instmiv.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин загружен
Файл сохранён как 100503_152929_Карантин2010-05-03_4bdeb399afa03.zip
Размер файла 669504
MD5 74fd425b539d428a74b033c875269026
Ну что там, доктор, показывают анализы?
Последний раз редактировалось **Alex**; 03.05.2010 в 15:31.
-
Плохого не видно.
Что с проблемой? Полную проверку антивирусом проводили?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Тьфу-тьфу-тьфу, вроде все симптомы пропали!
Проверился Касперским - вычистил из корзины и System Volume Information целую кучу вирусов.
Несколько раз перезагрузился и еще раз проверился антивирусом - все чисто! Спасибо Вам огроменное!
-
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Письмо с Qoobox отправляю Вам, но возвращается:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
[email protected]
SMTP error from remote mailer after end of data:
host ASPMX.L.GOOGLE.COM [209.85.218.3]: 552-5.7.0 Our system detected an illegal attachment on your message.
Может по другому как-то отправить?
Еще вопрос можно: у меня пропала языковая панель (ну где пишется, какой текущий язык ввода). До заражения она была на месте. В настройках панели управления/язык и рег.стандарты включить ее не могу - кнопка языковая панель затемнена и неактивна. Что делать?
-
Пароль на архив устанавливаете?
У Вас уже в первых логах нет строки запуска языковой панели.
Проверьте наличие файла ctfmon.exe в папке system32. Если не найдется, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скачайте архив во вложении, распакуйте и внесите информацию в реестр
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-