-
Junior Member
- Вес репутации
- 60
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');
QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\implayok.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\networkservice\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\mtisiz\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\imPlayok.exe','');
QuarantineFile('c:\windows\system32\wmicvrts.exe','');
DeleteFile('c:\windows\system32\wmicvrts.exe');
DeleteFile('C:\Documents and Settings\NetworkService\imPlayok.exe');
DeleteFile('c:\documents and settings\mtisiz\wuaucldt.exe');
DeleteFile('c:\documents and settings\networkservice\wuaucldt.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\implayok.exe');
DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 60
Пока два лога, третий выполняется
Последний раз редактировалось aspu; 02.09.2010 в 12:53.
-
По логам чисто. Карантин пришлите!
-
-
Junior Member
- Вес репутации
- 60
Третий лог и карантин
Файл сохранён как 100521_144302_2010-05-21_4bf663b6cd34b.zip
Размер файла 3289110
MD5 774d82fc60f6ad0ffebb6a6e0c752f8f
Последний раз редактировалось aspu; 02.09.2010 в 12:53.
-
Удалим остатки:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\MTISIZ\Local Settings\Temporary Internet Files\Content.IE5\KLQNGXYJ\2ba[2].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8325O1GF\n1b[2].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WKZ54OKY\mg32[1].exe');
DeleteFile('C:\System Volume Information\_restore{358DA98F-C4C1-4B11-A825-B823ED4F6225}\RP660\A0111168.sys');
DeleteFile('C:\System Volume Information\_restore{358DA98F-C4C1-4B11-A825-B823ED4F6225}\RP660\A0117666.exe');
DeleteFile('C:\WINDOWS\Temp\tmp1983.exe');
DeleteFile('C:\WINDOWS\Temp\tmp972.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пк перезагрузится. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 60
Вроде чисто. Огромное спасибо /
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\mtisiz\local settings\temporary internet files\content.ie5\klqngxyj\2ba[2].zip - Backdoor.Win32.Cetorp.gr ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3686051 )
- c:\documents and settings\networkservice\implayok.exe - Trojan-PSW.Win32.Agent.qpp ( DrWEB: Trojan.Siggen.64400, BitDefender: Trojan.Generic.3692232, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\wkz54oky\mg32[1].exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\8325o1gf\n1b[2].zip - Trojan.Win32.Buzus.dwin ( DrWEB: Trojan.Packed.20052, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:IRCBot-DRF [Trj] )
- c:\documents and settings\networkservice\wuaucldt.exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{358da98f-c4c1-4b11-a825-b823ed4f6225}\rp660\a0111168.sys - Rootkit.Win32.Agent.aaew ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )
- c:\system volume information\_restore{358da98f-c4c1-4b11-a825-b823ed4f6225}\rp660\a0117666.exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
- c:\windows\system32\implayok.exe - Trojan-PSW.Win32.Agent.qpp ( DrWEB: Trojan.Siggen.64400, BitDefender: Trojan.Generic.3692232, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wmicvrts.exe - Trojan.Win32.Agent.dthx ( DrWEB: Trojan.MulDrop1.15573, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:IRCBot-DRF [Trj] )
- c:\windows\temp\tmp1983.exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-