-
Junior Member
- Вес репутации
- 50
Вирус Р001.exe
Началось в последние дня 2. Сначала при работе в инете выскакивало сообщение szAppName : svchost.exe szApp : 5.1.2600.2180 szModName : unknown szModVer 0.0.0.0 offset 001f1cb0 Generic Host Process for Win32 Services, установил обновления. Потом началась непонятная активность P001, а также Е001, Н001. Начал искать в интернете, нашел ваш сайт, выполнил ваши рекомендации. Антивирус - NOD32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
-
это не тот лог... Запустите еще раз Combofix, дождитесь окончания работы, после будет создан лог - его прикрепите к теме
-
-
Junior Member
- Вес репутации
- 50
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
IdsSrv
NetSvc::
Folder::
c:\windows\system32\Y2MH72H7
c:\windows\system32\WFGFMJE5
c:\windows\system32\W0BPQVKC
c:\windows\system32\WI8ME20E
c:\windows\system32\V56AOCCD
c:\windows\system32\VZ0QQCLL
c:\windows\system32\VDF1Z11R
c:\windows\system32\UTCYOAHS
c:\windows\system32\UZQ40DUX
c:\windows\system32\U2O45WCZ
c:\windows\system32\TKYTVRIA
c:\windows\system32\T2MCO8EU
c:\windows\system32\TJ6GAT4M
c:\windows\system32\SZERUR44
c:\windows\system32\SFM2EO5N
c:\windows\system32\SO602MTE
c:\windows\system32\RGX2YOXS
c:\windows\system32\RBI33XMJ
c:\windows\system32\R524A6BB
c:\windows\system32\QJTALKHQ
c:\windows\system32\QZ1L5II8
c:\windows\system32\Q3P5FBFT
c:\windows\system32\PP6NH0VQ
c:\windows\system32\PTU7PTTC
c:\windows\system32\PA1JARTU
c:\windows\system32\PSP118PF
c:\windows\system32\OKG3XBTU
c:\windows\system32\O006JVKM
c:\windows\system32\OG8I3TL3
c:\windows\system32\NYW0VBHO
c:\windows\system32\NIXCPG1J
c:\windows\system32\NL73WMAU
c:\windows\system32\M3VLO45F
c:\windows\system32\M0WT1XP8
c:\windows\system32\MOVIC608
c:\windows\system32\LM8IRNAC
c:\windows\system32\L6E7SP0Z
c:\windows\system32\K3FF5JLT
c:\windows\system32\KDZEUH7K
c:\windows\system32\KLKCJFVB
c:\windows\system32\JJLKW7F3
c:\windows\system32\JBCMSAJJ
c:\windows\system32\JBKMHXEY
c:\windows\system32\IK4K6V0P
c:\windows\system32\IT2CXGEP
c:\windows\system32\HC3MRLZK
c:\windows\system32\H7F8043U
c:\windows\system32\HWQPD143
c:\windows\system32\GQXYGN4L
c:\windows\system32\GCFGIDLI
c:\windows\system32\FLD6AXXI
c:\windows\system32\FPNYG35U
c:\windows\system32\FVRQWHXI
c:\windows\system32\FQCS2QM8
c:\windows\system32\EWGJJ3FX
c:\windows\system32\E0RCQAM8
c:\windows\system32\EPOEC45C
c:\windows\system32\DFZ8YMFO
c:\windows\system32\DLQ7EDI1
c:\windows\system32\DP00KJPE
c:\windows\system32\CDCHWGQN
c:\windows\system32\CS6ZFQ1V
c:\windows\system32\CWHSLW86
c:\windows\system32\BCO35UAP
c:\windows\system32\BGYVC0H0
c:\windows\system32\BSQMDSFE
c:\windows\system32\ADUBDU50
c:\windows\system32\AJZ2U7YO
c:\windows\system32\A8W4G2IR
c:\windows\system32\AXU60X1U
c:\windows\system32\8WUTQCTR
c:\windows\system32\8884Z28W
c:\windows\system32\8WP0DDXX
c:\windows\system32\882CN2E2
c:\windows\system32\8VK70E22
c:\windows\system32\7XETZZFC
c:\windows\system32\7KVODA3C
c:\windows\system32\7O5HKGBO
c:\windows\system32\71WLVTH3
c:\windows\system32\6FBX5KWA
c:\windows\system32\6P727QID
c:\windows\system32\6O8OW4AA
c:\windows\system32\6KS3EZ63
c:\windows\system32\6MMPCLJD
c:\windows\system32\5BKRXG2G
c:\windows\system32\5MHWZMOJ
c:\windows\system32\5W18Z4JD
c:\windows\system32\5ZC16BRO
c:\windows\system32\4DQDH16U
c:\windows\system32\4H04N7F5
c:\windows\system32\4WUO5IPE
c:\windows\system32\30J8ECNZ
c:\windows\system32\YDIUKYCF
c:\windows\system32\UMA8JPPR
c:\windows\system32\UFA2M1MQ
c:\windows\system32\MOWJZSKE
c:\windows\system32\ES075WWS
c:\windows\system32\YZ4RG5HB
c:\windows\system32\4AAO8KYC
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HglSrv"=-
"HgpSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Несколько нюансов. Во время запуска Combofix всплывает окошко
PEV.cfxxe- обнаружена ошибка, приложение будет закрыто, после того как нажимаю принять все работает дальше.
2 В отчете Virus Removal Tool заметил, что два инфицированных файла он не смог удалить
-
А также
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\program files\Common Files\System\sqlserv.exe
Driver::
SqlDebuger
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"IdsSrv"=-
FileLook::
c:\windows\system32\AntiVC.dll
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось thyrex; 17.08.2010 в 18:39.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сделал как сказали Combo начал выполнение, потом компьютер перезагрузился, начался сбор информации для лога, затем выскочил синий экран, не успел прочитать, затем компьютер снова перезагрузился, но Combo уже не было. В автозагрузке стоит NOD32. Не знаю что делать, заново выполнять скрипт или нет
-
Отключите антивирус и выполните скрипт заново
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
c:\windows\system32\AntiVC.dll удалите
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Файл удалил, вроде пока все нормально, спасибо вам большое, если будут проблемы напишу.
-
- Удалите ComboFix
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 50
ComboFix не удаляется, комп пишет что файл не найден
-
Сообщение от
ParaBellum77
комп пишет что файл не найден
Здесьпробел не потеряли случайно?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-