CureIt удалил кучу троянов, остались подозрения на зловредов, гляньте логи. Заранее спасибо.
CureIt удалил кучу троянов, остались подозрения на зловредов, гляньте логи. Заранее спасибо.
Последний раз редактировалось tehnik34; 31.08.2010 в 15:34.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\edieprat.sys',''); QuarantineFile('\\?\globalroot\systemroot\system32\lku3Tlf.exe',''); QuarantineFile('C:\WINDOWS\system32\vywoulypyqu.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\luque.exe',''); QuarantineFile('C:\WINDOWS\system32\bf1bfc66.exe',''); QuarantineFile('C:\Documents and Settings\user\aghwt.exe',''); QuarantineFile('C:\Documents and Settings\user\Application Data\cift.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\snkkaxnlslkbew.sys',''); QuarantineFile('C:\WINDOWS\system32\bacagum.exe',''); QuarantineFile('C:\WINDOWS\system32\foodooh.exe',''); QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\GoogleUpdateBeta.exe',''); DeleteFile('C:\WINDOWS\system32\foodooh.exe'); DeleteFile('C:\WINDOWS\system32\bacagum.exe'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\snkkaxnlslkbew.sys'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\Documents and Settings\user\Application Data\cift.exe'); DeleteFile('C:\Documents and Settings\user\aghwt.exe'); DeleteFile('C:\WINDOWS\system32\bf1bfc66.exe'); DeleteFile('C:\WINDOWS\system32\luque.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\vywoulypyqu.exe'); DeleteFile('\\?\globalroot\systemroot\system32\lku3Tlf.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\edieprat.sys'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','feny'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bide'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteService('edieprat'); DeleteService('protect'); DeleteService('msgugkfqegprtao'); DeleteService('yo4ruewomy34i4'); DeleteService('qogmwe2gmy86i'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог МВАМ
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все выполнил.
Последний раз редактировалось tehnik34; 31.08.2010 в 15:34.
Карантин загрузил.
Файл сохранён как 100803_110845_virus_4c57c07dd1b59.zip
Размер файла 364726
MD5 581caa789e576cb0b226bc51f2a432dc
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\user\Рабочий стол\Самарина\PS studio\util\SMSMoveZ510.exe',''); QuarantineFile('C:\Documents and Settings\user\Рабочий стол\Самарина\PS studio\util\SMSMoveX800.exe',''); QuarantineFile('C:\Documents and Settings\user\Рабочий стол\Самарина\PS studio\util\SMSMoveD500.exe',''); QuarantineFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GN0VCONI\gotnewupdate005000[1].exe',''); QuarantineFile('C:\Documents and Settings\user\Application Data\6FA6471068F4C1EB630ACA0AA4388374\gotnewupdate005000.exe',''); QuarantineFile('C:\Documents and Settings\user\Application Data\kohboq.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ
Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные файлы: C:\Documents and Settings\user\Application Data\kohboq.exe (Trojan.Dropper) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\user\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все выполнил.
Последний раз редактировалось tehnik34; 31.08.2010 в 15:34.
Файл сохранён как 100803_123855_virus_4c57d59fc122f.zip
Размер файла 80131
MD5 7840c328fffb87f765e9a28403b6e8a8
Файлы не попали в карантин.
Найдите их, запакуйте с паролем virus и пришлите по красной ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил.
Файл сохранён как 100803_134936_virus_4c57e630e1277.zip
Размер файла 77977
MD5 e806d034e8f5c3e930abbb76142a1afc
Добавлено через 2 минуты
Посмотрел логи NOD32, там такая запись:
03.08.2010 11:39:30 Защита в режиме реального времени файл
C:\Documents and Settings\user\Рабочий стол\avz4\avz4\Quarantine\2010-08-03\avz00006.dta
модифицированный Win32/Kryptik.CCM троянская программа очищен удалением - изолирован
NT AUTHORITY\SYSTEM
Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\user\Рабочий стол\avz4\avz4\avz.exe.
Последний раз редактировалось tehnik34; 03.08.2010 в 13:52. Причина: Добавлено
Вот эти файлы вручную архивируйте и присылайте
C:\Documents and Settings\user\Рабочий стол\Самарина\PS studio\util\SMSMoveZ510.exe
C:\Documents and Settings\user\Рабочий стол\Самарина\PS studio\util\SMSMoveX800.exe
C:\Documents and Settings\user\Рабочий стол\Самарина\PS studio\util\SMSMoveD500.exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GN0VCONI\gotnewupdate005000[1].exe
C:\Documents and Settings\user\Application Data\6FA6471068F4C1EB630ACA0AA4388374\gotnewupdate 005000.exe
C:\Documents and Settings\user\Application Data\kohboq.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Этих файлов нет:
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GN0VCONI\gotnewupdate005000[1].exe
C:\Documents and Settings\user\Application Data\kohboq.exe
Остальное отправил.
Добавлено через 30 секунд
Файл сохранён как 100803_143153_virus_4c57f019a89cc.zip
Размер файла 101408
MD5 c8869e3552f8f6b8070354bb5651879a
Последний раз редактировалось tehnik34; 03.08.2010 в 14:32. Причина: Добавлено
Сделайте новый лог МАВАМ и удалите в нем записи с этими файлами
Лог после удаления предоставьтеКод:C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GN0VCONI\gotnewupdate005000[1].exe C:\Documents and Settings\user\Application Data\6FA6471068F4C1EB630ACA0AA4388374\gotnewupdate 005000.exe C:\Documents and Settings\user\Application Data\kohboq.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил
Последний раз редактировалось tehnik34; 31.08.2010 в 15:34.
Эти тожеКод:C:\Documents and Settings\user\Рабочий стол\virus\gotnewupdate005000.exe (Malware.Packer.Gen) -> Not selected for removal. D:\System Volume Information\_restore{5C506D00-5A97-4D01-82A8-121CB681740D}\RP32\A0031813.EXE (Malware.Packer.Gen) -> Not selected for removal. D:\System Volume Information\_restore{5C506D00-5A97-4D01-82A8-121CB681740D}\RP32\A0031826.EXE (Malware.Packer.Gen) -> Not selected for removal.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. Если это все, то огромное спасибо.
Да, выписываем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- \virus\gotnewupdate005000.exe - Trojan.Win32.Pakes.oep ( AVAST4: Win32:Vundo-IS [Trj] )
Уважаемый(ая) tehnik34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.