Всем доброго дня!
прошу помочь по сабжу.
Спасибо.
Всем доброго дня!
прошу помочь по сабжу.
Спасибо.
Последний раз редактировалось Alexey_75; 08.07.2010 в 17:00.
Вот, добавил полный гмер-лог
Последний раз редактировалось Alexey_75; 08.07.2010 в 17:00.
Доброго времени суток
Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
И запустите cleanup.bat.Код:bncjtigj.exe -del service vowcuegya bncjtigj.exe -del service wbqzf bncjtigj.exe -del file "C:\WINDOWS\system32\letbiu.dll" bncjtigj.exe -del file "C:\WINDOWS\system32\06BBA.tmp" bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vowcuegya" bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vowcuegya" bncjtigj.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
выполните скрипт в AVZ:Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи gmer и virusinfo_syscheck.zipКод:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); QuarantineFile('c:\sspservice\skstransport.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\hbkernel32.sys',''); QuarantineFile('C:\WINDOWS\system32\06BBA.tmp',''); QuarantineFile('C:\WINDOWS\system32\8b52f47.sys',''); QuarantineFile('C:\WINDOWS\system32\4c70249.sys',''); QuarantineFile('C:\WINDOWS\system32\4901228.sys',''); QuarantineFile('E:\DataCollector\DataCollector.exe',''); end.
Файл сохранён как 100702_161310_quarantine_4c2dd7d6a8135.zip
Размер файла 33535
MD5 f3d5ce0935e76f363f9bbcdd0badb528
Сейчас готовятся логи.
Там в карантине есть безобидные служебные вещи...
Последний раз редактировалось Alexey_75; 08.07.2010 в 17:00.
При создании повторного лога gmer на Scan забыли нажать. Переделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сорри...
Последний раз редактировалось Alexey_75; 07.07.2010 в 11:01.
Этот лог в порядке. По карантину АВЗ надо ждать, пока проснется киберанализатор
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Доброе утро!
Сейчас пришёл на работу, компьютер с пятницы не выключал. Опять 130 процессов rundll32.exe...
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('wbqzf'); DeleteService('8b52f47'); DeleteService('4c70249'); DeleteService('4901228'); DeleteFile('C:\WINDOWS\system32\4901228.sys'); DeleteFile('C:\WINDOWS\system32\4c70249.sys'); DeleteFile('C:\WINDOWS\system32\8b52f47.sys'); DeleteFile('C:\WINDOWS\system32\06BBA.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи. Сканирование ещё не закончилось, опять повалили rundll32.exe
Последний раз редактировалось Alexey_75; 08.07.2010 в 17:00.
Это в благодарность за дырявость системы к Вам Kido лезетPlatform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Обновляйте срочно систему
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Не знаю, зачем, но прогнал kidokiller. Вроде помогло.
Затем выполнил Ваши инструкции и запустил combofix.
лог в атт.
ЗЫ: Вложения можно очистить? ато уже места не хватает...
Последний раз редактировалось Alexey_75; 07.07.2010 в 11:01.
Да, самые древние вложения (не из этой темы) можно удалить через Мой кабинет
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: NetSvc:: wkczncgj vowcuegya Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "2147:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, приятного мало... Оставил работать combofix и ушёл домой. Утром таже картина. лог в атт.
Последний раз редактировалось Alexey_75; 07.07.2010 в 11:01.
Систему обновлять думаете?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Извините за задержку. Всё обновил.
Последний раз редактировалось Alexey_75; 08.07.2010 в 17:00.
Установили только SP3 или все новые патчи тоже устанавливали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, установил всё, догнал с WU. Только теперь на virusinfo заходит только через 216.246.90.119. Gmer обнаружил rootkit. Начинать всё с начала?
Новые логи
Последний раз редактировалось Alexey_75; 03.08.2010 в 20:03.
Уважаемый(ая) Alexey_75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.