-
Junior Member
- Вес репутации
- 60
остатки после порнобанеров
Здравствуйте, уважаемые!
принесли мне компьютер на лечение. при загрузке выползали 2 порнобанера от которых я избавился с помощью деблокеров, но по всей видимости осталась в машине еще куча всякой гадости. безопасный режим не загружается, выскакивает надпись "неожиданно завершен системный процесс c:\windows\system32\services.exe" и код какой-то -1073741795.И через минуту комп перезагружается. далее, при загрузке в обычном режиме вылезает стандартный блокнот с надписью "[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787" Ну и новое устройство какое-то хочет установится...
Проверьте пожалуйста логи.
Последний раз редактировалось vlad_1976; 31.05.2010 в 09:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\Program Files\[В]Коммфорте\CommFort.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\WINDOWS\system32\30520e1e.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\Xy1Jzfx.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\qcGO8VW.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\espE6D4.tmp','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\codf.ouo','');
DeleteFile('C:\WINDOWS\system32\codf.ouo');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\espE6D4.tmp');
DeleteFile('\\?\globalroot\systemroot\system32\qcGO8VW.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Xy1Jzfx.exe');
DeleteFile('C:\WINDOWS\system32\30520e1e.exe');
DeleteFile('C:\Program Files\plugin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 60
скрипт выполнил. карантин закачал
Файл сохранён как 100519_174429_virus_4bf3eb3dd4322.zip
Размер файла 2644583
MD5 49a8f2ce2d9f0b65c9fbd945679c4357
Последний раз редактировалось vlad_1976; 31.05.2010 в 09:08.
-
выполните скрипт в AVZ:
Код:
begin
RegSearch('HKLM', '', 'espE6D4');
SaveLog(GetAVZDirectory + 'avz.log');
end.
Прикрепите лог avz.log из папки AVZ
-
-
Junior Member
- Вес репутации
- 60
лог АВЗ загрузил.
и еще, почему-то при каждой загрузке системы винда проверяет диск Е на ошибки.
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\0CCF9D39');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\0CCF9D39');
ExecuteFile('C:\WINDOWS\system32\chkntfs.exe', '/x E:', 1, 0, false);
end.
Проблема решена?
-
-
Junior Member
- Вес репутации
- 60
Диск Е больше не проверяет, но что делать с постоянно появляющейся надписью в блокноте после загрузки винды [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787
и в логе hijackthis присутствует O2 - BHO: wit for ie - {75ED56AF-4DC9-4243-A30C-4EF4DD0CA28F} - C:\Documents and Settings\user\AppData\LocalLow\ChameleonBob for IE\wit4ie.dll
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;vkontakte.ru;www.vkontakte.ru
Это ни на что не повлияет?
-
-
-
Junior Member
- Вес репутации
- 60
я напоминаю о себе... просто скажите, я и сам из автозагрузки удалю.
Добавлено через 1 минуту
Сообщение от
DefesT
сделайте новые логи
одновременно написали
Последний раз редактировалось vlad_1976; 20.05.2010 в 12:45.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
-
В логах нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 60
-
Сообщение от
vlad_1976
но что делать с постоянно появляющейся надписью в блокноте после загрузки винды
Удалите этот файл.
-
-
Junior Member
- Вес репутации
- 60
все уязвимости устранил. Спасибо за лечение. не могли бы вы написать, какие вирусы были?
-
C:\WINDOWS\system32\codf.ouo - Trojan.Win32.Oficla.o
C:\WINDOWS\system32\mssrv32.exe - Backdoor.Win32.Kbot.aky
\\?\globalroot\systemroot\system32\qcGO8VW.exe - Trojan.Win32.Scar.bwas
\\?\globalroot\systemroot\system32\Xy1Jzfx.exe - Trojan-Dropper.Win32.Shiz.ab
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\codf.ouo - Trojan.Win32.Oficla.o ( DrWEB: Trojan.Oficla.38, BitDefender: Trojan.Generic.3629099, NOD32: Win32/Oficla.GB trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\mssrv32.exe - Backdoor.Win32.Kbot.aky ( DrWEB: Trojan.DownLoader.26661, BitDefender: Gen:Variant.Bredo.3, NOD32: Win32/Kbot.AB trojan )
- \\?\globalroot\systemroot\system32\qcgo8vw.exe - Trojan.Win32.Scar.bwas ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3576676, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\xy1jzfx.exe - Trojan-Dropper.Win32.Shiz.ab ( DrWEB: Trojan.Packed.20032, BitDefender: Trojan.Generic.3638461, AVAST4: Win32:Malware-gen )
-