Периодически DrWeb обнаруживает создание в папке \windows\system32\drivers файлов, определяемых как зараженные DDos. PamelaCureIt! не помог. AVZ обнаружил кучу троянов.
Периодически DrWeb обнаруживает создание в папке \windows\system32\drivers файлов, определяемых как зараженные DDos. PamelaCureIt! не помог. AVZ обнаружил кучу троянов.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Audit\LOCALS~1\Temp\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Audit\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\ialmsbw.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\ialmkchw.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll.tmp',''); DeleteFile('C:\Documents and Settings\Audit\Local Settings\Application Data\cftmon.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','autoload'); DeleteFile('C:\DOCUME~1\Audit\LOCALS~1\Temp\svchost.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Gmer
Добавлено через 10 минут
- раритет.Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Давайте сначала сделаем вот так:
- SP1 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Последний раз редактировалось polword; 04.06.2010 в 17:54. Причина: Добавлено
Скрипт выполнил.
Карантин отправил.
Лог gmer прилагаю.
Проблема осталась.
DrWeb периодически сообщает:
C:\WINDOWS\system32\aioaktqc.dll - инфицирован Trojan.Siggen1.37243
По поводу раритете: я понимаю опасность дырявой версии Windows, но проблема состоит в том, что на компьютере установлены не менее раритетные бухгалтерские программы, которые в случае сбоя при обновлении системы просто НЕ ПОДЛЕЖАТ ВОССТАНОВЛЕНИЮ. Из двух бед приходится выбирать меньшую.
При создании лога gmer забыли нажать кнопку Scan. Переделать
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe',''); QuarantineFile('C:\WINDOWS\system32\aioaktqc.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ntuser'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Кнопку Scan нажать не забыл, просто в описании не очень корректно написано:
"отметьте галочкой только системный раздел"
вот я и снял все птички, кроме SYSTEM.
Повторно отgmer'ил по-полной, скрипт выполнил, логи прилагаю.
Проблема осталась: периодически DrWeb сигнализирует о трояне.
C:\WINDOWS\system32\aioaktqc.dll удаляйте вручную.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится qwsm562x.exe (gmer)
И запустите cleanup.bat.Код:qwsm562x.exe -del service krwjaqqdw qwsm562x.exe -del file "C:\WINDOWS\System32\bguiqok.dll" qwsm562x.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\krwjaqqdw" qwsm562x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\krwjaqqdw" qwsm562x.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил cleanup.bat
qwsm562x.exe -del service krwjaqqdw
DeleteService: Параметр задан неверно
qwsm562x.exe -del file "C:\WINDOWS\System32\bguiqok.dll"
Не удается найти указанный файл
qwsm562x.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\krwjaqqdw"
DeletKey: Параметр задан неверно
qwsm562x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\krwjaq qdw"
DeletKey: Параметр задан неверно
Новый лог Gmer прилагаю.
Лог в порядке. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо, помогли!
Всё ОК.
P.S. Созрел до апрейда Windows, чтобы спать спокойнее
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\aioaktqc.dll - Trojan.Win32.Cosmu.yyc ( DrWEB: Trojan.Siggen1.37243, BitDefender: Gen:Trojan.Heur.PT.hq4abu270uf, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.