Junior Member
Вес репутации
50
Вирус в автозапуске "Monoca32.exe" переменами сильно зависает explorer.exe
вообщем очень сильно тормозит система, но это когда как, в процессах смотрел explorer.exe за 561 мб уходит... комп глючит, минут 10 и проходит...
кстате была опера 9, вирус удалил, а 10 оперу не тронула. откатить систему немогу. курейтом прочистил в безопасном, не помогло, но некоторые черви нашел, вот логи авз и хайжек:
Вложения
Последний раз редактировалось Jeanda; 29.07.2010 в 04:29 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Paula rhei.
Поддержать проект можно тут
Junior Member
Вес репутации
50
кстате, это плохо что я логи вручную сохранял? у меня авз в архиве был... и логи нигде не сохранялись...
Добавлено через 49 секунд
Сообщение от
миднайт
? непонятно зачем ты мне эту ссылку даешь если я с неё только что
Добавлено через 1 минуту
лан я пока перепроверку сделаю =\ извентиляюсь
Последний раз редактировалось Jeanda; 29.07.2010 в 01:19 .
Причина: Добавлено
Архивные файлы отчетов создаются автоматически, не нужно их перепаковывать.
Paula rhei.
Поддержать проект можно тут
Junior Member
Вес репутации
50
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\WINDOWS\system32\aoeeap.exe','');
QuarantineFile('C:\WINDOWS\system32\54d7ca98.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nsynas32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\goflkq.sys','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\goflkq.sys');
DeleteFile('C:\WINDOWS\system32\54d7ca98.exe');
DeleteFile('C:\WINDOWS\system32\aoeeap.exe');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Secure Star');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- скачайте новую версию AVZ - 4.34
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
- Скачайте RSIT тут . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Junior Member
Вес репутации
50
я вот новые логи ща загружу, но скрипт еще не выполнял, нужны логи?
Сначала скрипт, а потом логи
Junior Member
Вес репутации
50
вот на обновленноей авз...
Junior Member
Вес репутации
50
ой я скрипт не делал... ща
Junior Member
Вес репутации
50
вот все логи которые просили, все скрипты выполнил.
Установите SP3, IE8 и все последние обновления
Junior Member
Вес репутации
50
cпс, это мне теперь винду менять...
Нет, вам теперь всего лишь установить обновления ПО.
Paula rhei.
Поддержать проект можно тут
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
QuarantineFile('C:\WINDOWS\system32\dgacia.exe','');
QuarantineFile('C:\WINDOWS\system32\1567a480.exe','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\WINDOWS\system32\dgacia.exe');
DeleteFile('C:\WINDOWS\system32\1567a480.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\System32\Drivers\a48fabbq.SYS','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL','');
DelBHO('{2B29CB8C-ECF8-5BFB-D529-6C36212D95FB}');
QuarantineFile('C:\SysFiles\aNhgq_G_al7k35iH_.dll','');
DeleteFile('C:\SysFiles\aNhgq_G_al7k35iH_.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
Последний раз редактировалось polword; 30.07.2010 в 07:06 .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\aoeeap.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Siggen2.51, BitDefender: Gen:Trojan.Heur.FU.gq0@aiPJ4Rki, AVAST4: Win32:Malware-gen ) c:\windows\system32\sidebar32.exe - Trojan-Spy.Win32.BZub.hyx ( DrWEB: Trojan.Inject.9041 ) c:\windows\system32\54d7ca98.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Siggen2.52, BitDefender: Gen:Trojan.Heur.FU.cq0@aCynJOmi, AVAST4: Win32:Malware-gen )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !