Добрый день.
ДрВеб обнаружил и удалил в папке windows\ вирусы: trojan.PWS.Ibank.54, BackDoor.uBot.25, Bat.killFiles.33.
Прошу посмотреть логи.
Добрый день.
ДрВеб обнаружил и удалил в папке windows\ вирусы: trojan.PWS.Ibank.54, BackDoor.uBot.25, Bat.killFiles.33.
Прошу посмотреть логи.
Выполнить скрипт:
Логи после перезагрузки сделать заново и прислать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syssec32.exe',''); QuarantineFile('C:\Documents and Settings\Player\Главное меню\Программы\Автозагрузка\srvklw32.exe',''); DeleteFile('C:\Documents and Settings\Player\Главное меню\Программы\Автозагрузка\srvklw32.exe'); DeleteFile('C:\WINDOWS\system32\syssec32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пароли могли укйти на сторону, их надо сменить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за помощь, PavelA. Вот новые логи.
Карантин пришлите по Правилам Приложение 3.
Добавлено через 3 минуты
Повторить скрипт:.
Скачайте RSIT тут http://images.malwareremoval.com/random/RSIT.exe. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Player\Главное меню\Программы\Автозагрузка\srvklw32.exe',''); DeleteFile('C:\Documents and Settings\Player\Главное меню\Программы\Автозагрузка\srvklw32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 23.07.2010 в 12:12. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выложил карантин и логи.
Лог Хиджака повторите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Лог от Хиджа.
Профиксите строчку:
Лог Хиджака повторите.Код:O4 - Startup: srvklw32.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил, но строчка осталась.
Будем копаться глубже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В AVZ выполните скрипт:
Повторите логи AVZ.Код:begin SetAVZPMStatus(true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
Paula rhei.
Поддержать проект можно тут
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за рекомендации. Будем долечивать в воскресенье - комп не со мной.
Выплнил скрипт AVZ (логи AVZ и HJ до сканирования комбофикс), просканировал ComboFix.
Файл удален ComboFix'ом. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Эта штука (O4 - Startup: srvklw32.exe) пропала вроде. Но для верности посмотрите пожалуйста логи.
Осталось: деинсталлировать комбофикс. обновить систему.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все понял. Огромное спасибо за лечение PavelA, миднайт и thyrex.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\player\главное меню\программы\автозагрузка\srvklw32.exe - Trojan.Win32.Jorik.Bredolab.w ( BitDefender: Trojan.Bredolab.CH, AVAST4: Win32:Malware-gen )
Уважаемый(ая) fronter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.