Junior Member
Вес репутации
59
system32\******\P001.exe
NOD ругался на файлы в папке Windows\System32\папка\*001.exe
Эти файлы создаются из "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\папка\a[16].exe"
Примерно так, названия, буквы и папки варируются. Я эту заразу вычищаю и все норм,... пока не вхожу в инет. Видно где то висит загрузчик, который сразу подтягивает все заново.
Cureit снес какие то библиотеки, но проблему не решил.
Выкладываю файлы от avz и hijackthis
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
QuarantineFile('vsd.sys','');
DeleteService('vsd');
QuarantineFile('C:\WINDOWS\System32\ldsasclib.dll','');
QuarantineFile('c:\windows\system32\idsasvstart.dll','');
DeleteFile('c:\windows\system32\idsasvstart.dll');
DeleteFile('C:\WINDOWS\System32\ldsasclib.dll');
DeleteFile('vsd.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Файлы c:\wuauserv.log и c:\BITS.log прикрепите к своему сообщению
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
59
Логи
Карантин подгрузил
Сижу в инете, вроде чисто.
СПС.
Вложения
Последний раз редактировалось surgutfred; 18.08.2010 в 18:51 .
1. Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(19);
RebootWindows(true);
end.
После перезагрузки:
2. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
IdsSrv
NetSvc::
kqwfhvapb
Folder::
c:\windows\system32\LMNCBVOD
c:\windows\system32\LM08FH64
c:\windows\system32\LKIAPADX
c:\windows\system32\CHFWKPE4
c:\windows\system32\8766HJCU
c:\windows\system32\7NI3L71Z
c:\windows\system32\MSJYP10Q
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HgpSrv"=-
"IdsSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
3. Распкуйте фалы из вложения и внесите информацию в реестр, запустив их
Последний раз редактировалось polword; 26.08.2010 в 23:05 .
Junior Member
Вес репутации
59
ComboFix шибко ругается
Junior Member
Вес репутации
59
Где правленное?
Если в том же окне, то все равно то же сообщение выдает.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\hgpasclib.dll
c:\windows\system32\gff6.exe
c:\windows\system32\ezsidmv.dat
Driver::
IdsSrv
kqwfhvapb
NetSvc::
kqwfhvapb
Folder::
c:\windows\system32\LMNCBVOD
c:\windows\system32\LM08FH64
c:\windows\system32\LKIAPADX
c:\windows\system32\CHFWKPE4
c:\windows\system32\8766HJCU
c:\windows\system32\7NI3L71Z
c:\windows\system32\MSJYP10Q
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HgpSrv"=-
"IdsSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
59
Все равно выдает
Сохраните файл из вложения на рабочий стол и далее по тексту под окном кода
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\idsasvstart.dll - Net-Worm.Win32.Kolab.kiv ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.428550C7, NOD32: Win32/TrojanDownloader.Agent.QEK trojan, AVAST4: Win32:Alureon-NP [Trj] ) c:\\windows\\system32\\ldsasclib.dll - Net-Worm.Win32.Kolab.klw ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.50B54F38, NOD32: Win32/TrojanDownloader.Agent.PID trojan, AVAST4: Win32:Malware-gen )