Удаление, перезагрузка и они снова на месте в большем количестве.
Удаление, перезагрузка и они снова на месте в большем количестве.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2. Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Паладинский анализатор\palkan.exe',''); QuarantineFile('C:\WINDOWS\cndrive32.exe',''); DeleteFile('C:\WINDOWS\cndrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Карантин загружен.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\Documents and Settings\XXX\Application Data\ltzqai.exe',''); QuarantineFile('c:\windows\system32\msvmiode.exe',''); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('C:\Documents and Settings\XXX\Application Data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
После выполнения скрипта и перезагрузки комп начал ругаться.
Пыталась загрузить страницу с рекомендациями - все зависло, после очередной перезагрузки dr.web снова ловил инфицированные файлы: C:\WINDOWS\system32\58.exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5AFSDUZ\s[1].exe - инфицирован Win32.HLLW.Lime.8
Карантин загружен.
Решила еще добавить скрины.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог прикреплен.
Ушла, буду завтра в 10 утра...
Удалите в МВАМ
Добавлено через 56 секундКод:Зараженные файлы: C:\RECYCLER\S-1-5-21-1551551582-3958396402-393435870-1935\syscr.exe (Worm.Autorun.B) -> No action taken. C:\Documents and Settings\XXX\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\Default User\Application Data\fvgqad.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\Гость\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
Обновления, вышедшие после SP3, все установлены? Если нет, то пришла пора установить
Последний раз редактировалось thyrex; 28.07.2010 в 14:28. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После удаления в MBAM указанных пунктов и перезагрузки Dr.Web снова ругается:
C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\C1E34T6J\0calc[1].exe - инфицирован Trojan.DownLoader1.16072
C:\Documents and Settings\XXX\Local Settings\Temp\1158.exe - инфицирован Trojan.DownLoader1.16072
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\C1E34T6J\0calc[1].exe',''); DeleteFile('C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\C1E34T6J\0calc[1].exe'); DeleteFileMask('C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); DeleteFileMask('C:\Documents and Settings\XXX\Local Settings\Temp', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог MBAM
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Карантин загружен.
Обновление произведено.
Последний раз редактировалось Nikusia; 29.07.2010 в 15:41. Причина: Информация об обновлениях
Снова ушла.. завтра продолжим
1. удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-9125806165-9447816149-305795204-0618\syscr.exe,C:\Documents and Settings\XXX\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-9844434301-2170141262-377692264-4827\syscr.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken. C:\RECYCLER\S-1-5-21-9125806165-9447816149-305795204-0618\syscr.exe (Worm.Autorun.B) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\39105711.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Доброе утро.
Карантин загружен.
файл чистый.
- Сделайте лог MBAM
И опять беда за бедой...
C:\WINDOWS\SYSTEM32\16.EXE - инфицирован Win32.HLLW.Lime.8
C:\WINDOWS\SYSTEM32\12.EXE - инфицирован Win32.HLLW.Lime.8
C:\WINDOWS\SYSTEM32\50.EXE - инфицирован Win32.HLLW.Lime.8
C:\WINDOWS\SYSTEM32\30.EXE - инфицирован Win32.HLLW.Lime.8
C:\WINDOWS\SYSTEM32\34.EXE - инфицирован Win32.HLLW.Lime.8
C:\WINDOWS\SYSTEM32\61.EXE - инфицирован Win32.HLLW.Lime.8
C:\WINDOWS\SYSTEM32\67.EXE - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8DUF89AJ\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8DUF89AJ\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CL6FKLYF\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CL6FKLYF\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CTUZ41YN\3[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O5AFSDUZ\i[1].exe - инфицирован Win32.HLLW.Lime.8
C:\Documents and Settings\XXX\Local Settings\Temp\248724.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\793.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\870.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temp\9236033.exe - инфицирован Trojan.Spambot.9106
C:\Documents and Settings\XXX\Local Settings\Temp\956.exe - инфицирован Win32.HLLW.Autoruner.22584
C:\Documents and Settings\XXX\Local Settings\Temporary Internet Files\Content.IE5\2WN5ALA1\ibf[1].exe - инфицирован Win32.HLLW.Autoruner.22584
- сделайте лог Combofix
Если все сделала так, то то что прикрепила - лог
Уважаемый(ая) Nikusia, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.