у меня такие симптомы. После нескольких минут после перезагрузки ссылки в браузере не открываются и пропадает сеть на компьютере который выходит в интернет через мой удаленный доступ
у меня такие симптомы. После нескольких минут после перезагрузки ссылки в браузере не открываются и пропадает сеть на компьютере который выходит в интернет через мой удаленный доступ
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.Код:O20 - AppInit_DLLs: prio.dll
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\wndrive32.exe'); QuarantineFile('C:\WINDOWS\wndrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\66.scr',''); QuarantineFile('C:\WINDOWS\system32\Jnstm.exe',''); QuarantineFile('c:\windows\system32\wuauclt.exe',''); QuarantineFile('c:\windows\wndrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\woot.exe',''); QuarantineFile('C:\WINDOWS\system32\msconfig.exe',''); QuarantineFile('C:\WINDOWS\system32\office2007\mirc.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9273594991-7081863027-696733192-0039\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-9273594991-7081863027-696733192-0039\syscr.exe'); DeleteFile('c:\windows\wndrive32.exe'); DeleteFile('C:\WINDOWS\system32\Jnstm.exe'); DeleteFile('C:\WINDOWS\system32\66.scr'); DeleteFile('C:\WINDOWS\wndrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
вот новые логи
Плохого не видно. Что с проблемой?
доктор веб 5 находит в темпах 403.exe 455.exe 734.exe и локалсетингс моей учетной записи msall[1].new и msall[2].new и определяет это как BackDoor.IRC.Bot.166
че с ним делать удалять?
а еще в систем 32 тоже файлы типа 20.exe 65.exe и тп с маркировкой Win32.HLLW.Lime.8
забыл уточнить что со звуком проблемы кстати появились
Последний раз редактировалось IZVERG116; 17.06.2010 в 19:42.
- Сделайте лог MBAM
вот лог
1.удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winxpservice (Backdoor.Bot) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4WU7L2LN\663x[1].exe',''); QuarantineFile('C:\WINDOWS\system32\office2007\mirc.exe',''); QuarantineFile('C:\WINDOWS\system32\27.exe ',''); QuarantineFile('C:\WINDOWS\system32\33.exe',''); QuarantineFile('C:\WINDOWS\system32\44.exe',''); QuarantineFile('C:\WINDOWS\system32\51.exe',''); QuarantineFile('C:\WINDOWS\system32\62.exe',''); QuarantineFile('C:\WINDOWS\system32\88.exe',''); QuarantineFile('C:\WINDOWS\system32\82.exe',''); DeleteFile('C:\WINDOWS\system32\27.exe '); DeleteFile('C:\WINDOWS\system32\33.exe'); DeleteFile('C:\WINDOWS\system32\44.exe'); DeleteFile('C:\WINDOWS\system32\51.exe '); DeleteFile('C:\WINDOWS\system32\62.exe '); DeleteFile('C:\WINDOWS\system32\88.exe '); DeleteFile('C:\WINDOWS\system32\82.exe '); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог MBAM
вот новые логи
- удалите в MBAM
повторите логКод:Зараженные процессы в памяти: C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken. C:\RECYCLER\S-1-5-21-7033760263-2727542253-959260917-0916\syscr.exe (Worm.Autorun.B) -> No action taken.
вот лог новый. сразу после проверки доктор веб нашел 40.exe и определил это как Trojan.Scanbot.9801
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
вот лог AVZ
После устранения уязвимостей проблемы были?
основная проблема отсутствие выхода в интернет на втором компьютере так и не решилась
Настройте общий доступ к подключению к Интернету заново.
спасибо пока все работает думаю тему можно закрыть)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 44
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-9273594991-7081863027-696733192-0039\syscr.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
- c:\windows\system32\jnstm.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.Inject.8883, BitDefender: Trojan.Generic.4318911, AVAST4: Win32:Malware-gen )
- c:\windows\system32\office2007\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.613 ( DrWEB: Program.mIRC.617 )
- c:\windows\system32\woot.exe - not-a-virus:Client-IRC.Win32.mIRC.613
- c:\windows\system32\66.scr - Worm.Win32.VBNA.b ( DrWEB: Trojan.Inject.8883, BitDefender: Trojan.Generic.4318911, AVAST4: Win32:Malware-gen )
- c:\windows\wndrive32.exe - Worm.Win32.VBNA.b ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )
Уважаемый(ая) IZVERG116, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.