Возникла проблема с монокой. SoS товарищи, выслал отчеты, жду помощи. Скажите о чем забыл и что еще надо. Заранее спс.
Возникла проблема с монокой. SoS товарищи, выслал отчеты, жду помощи. Скажите о чем забыл и что еще надо. Заранее спс.
вот еще - забыл
syscure - пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот
- Выполните скрипт в AVZ в безопасном режиме
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\thumbs.db',''); QuarantineFile('C:\WINDOWS.0\system32\sudylo.exe',''); QuarantineFile('C:\WINDOWS.0\system32\jufooj.exe',''); QuarantineFile('C:\WINDOWS.0\system32\faty.exe',''); QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Главное меню\Программы\Автозагрузка\monoca32.exe',''); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\kzutr.sys',''); DeleteService('vsdicgzqbdnj'); DeleteService('smbykzhhp'); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\pyytokj.sys',''); DeleteService('qcmhvoapvqbqptp'); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\eopybafxq.sys',''); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\hpzszguirw.sys',''); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\vbdixsqxboxludv.sys',''); DeleteService('oxclpebfn'); DeleteService('ouoqafhndemba'); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\qihmhextjll.sys',''); DeleteService('lgbzgellz'); QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\jrdnzsbcm.sys',''); DeleteService('bzytagoq'); QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Microsoft\savuzily.exe',''); DeleteService('hl2p14b5umoon'); QuarantineFile('C:\WINDOWS.0\system32\quafitoottoov.exe',''); DeleteService('ud2geeaxae'); DeleteFile('C:\WINDOWS.0\system32\quafitoottoov.exe'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Microsoft\savuzily.exe'); DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\jrdnzsbcm.sys'); DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\qihmhextjll.sys'); DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\vbdixsqxboxludv.sys'); DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\hpzszguirw.sys'); DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\kzutr.sys'); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS.0\system32\jufooj.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','kyrav'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','wyrou'); DeleteFile('C:\WINDOWS.0\system32\sudylo.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','fyzu'); DeleteFile('C:\thumbs.db'); QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\pard.exe',''); QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\ctfmon.exe',''); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\pard.exe'); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\ctfmon.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- удалите в MBAM оставшееся
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)Код:Зараженные модули в памяти: C:\Documents and Settings\All Users.WINDOWS.0\Документы\Settings\cbss.dll (Malware.Packer.Gen) -> No action taken. Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Malware.Packer.Gen) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\intranet (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\windows services (Backdoor.IRCBot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Зараженные файлы: C:\Documents and Settings\All Users.WINDOWS.0\Документы\Settings\cbss.dll (Malware.Packer.Gen) -> No action taken. C:\scan.exe (Worm.PushBot) -> No action taken. C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken. D:\System Volume Information\_restore{4AD5EFB1-9A1F-47E7-9A52-EC5C01C1AD62}\RP5\A0001061.exe (RiskWare.Tool.CK) -> No action taken. C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS.0\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. C:\Documents and Settings\Admin.MICROSOF-52C20F\ctfmon.exe (Trojan.Agent) -> No action taken.
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог MBAM
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Nightmarere, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.