Логи после лечения системы, осталось странное поведение.
Логи после лечения системы, осталось странное поведение.
Последний раз редактировалось tehnik34; 05.10.2010 в 15:30.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - - (no file) F3 - REG:win.ini: run=C:\WINDOWS\system32\ibvthfj.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('dfumwslm'); DeleteService('protectq'); DeleteService('protect'); DeleteService('iwmnewslqdo'); QuarantineFile('C:\WINDOWS\System32\Drivers\dfumwslm.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectq.sys',''); QuarantineFile('C:\DOCUME~1\ALLA\LOCALS~1\Temp\niudkczmbef.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\cbss.dll',''); QuarantineFile('C:\Documents and Settings\ALLA\fvg.exe',''); QuarantineFile('C:\Documents and Settings\ALLA\Application Data\pard.exe',''); QuarantineFile('C:\WINDOWS\system32\gidoukeziv.exe',''); QuarantineFile('C:\WINDOWS\system32\ibvthfj.exe',''); QuarantineFile('C:\WINDOWS\system32\jelou.exe',''); QuarantineFile('C:\WINDOWS\system32\mittygy.exe',''); QuarantineFile('C:\WINDOWS\system32\woottizenul.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\woottizenul.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','toukoozoo'); DeleteFile('C:\WINDOWS\system32\mittygy.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quejimmu'); DeleteFile('C:\WINDOWS\system32\jelou.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','loonoomus'); DeleteFile('C:\WINDOWS\system32\ibvthfj.exe'); DeleteFile('C:\WINDOWS\system32\gidoukeziv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','henarob'); DeleteFile('C:\Documents and Settings\ALLA\Application Data\pard.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\cbss.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg','DLLName'); DeleteFile('C:\DOCUME~1\ALLA\LOCALS~1\Temp\niudkczmbef.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\protectq.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\dfumwslm.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_DeleteSvc('iwmnewslqdo'); BC_DeleteSvc('protectq'); BC_DeleteSvc('dfumwslm'); BC_DeleteSvc('protect'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(11); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Файл сохранён как 100914_094918_quarantine_4c8f0cde6c34c.zip
Размер файла 47137
MD5 512caec562ef04efc4f3f4e6403386cf
Логи
Последний раз редактировалось tehnik34; 05.10.2010 в 15:30.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\zousup.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\e.dll',''); DeleteFile('C:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); DeleteFile('C:\Documents and Settings\ALLA\fvg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
Файл сохранён как 100914_104444_quarantine2_4c8f19dc723c4.zip
Размер файла 1708
MD5 f29f72b8b7ced3f28fed83e915e14e7a
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\e.dll
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('mxyusno6aqb8aaoa'); DeleteFile('C:\WINDOWS\system32\zousup.exe'); DeleteFile('C:\WINDOWS\system32\e.dll'); BC_DeleteSvc('mxyusno6aqb8aaoa'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Файл сохранён как 100914_121604_quarantine_4c8f2f448be0e.zip
Размер файла 1708
MD5 e7759bacf657a80281ce5540dc5d5434
Логи
Последний раз редактировалось tehnik34; 05.10.2010 в 15:30.
Пофиксите в HijackThis:
Перезагрузите компьютер и повторите лог HijackThis.Код:O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O20 - Winlogon Notify: cbssreg - Invalid registry found
Сообщите, какие проблемы остались?
I am not young enough to know everything...
Выполнил, проблем не видно.
Последний раз редактировалось tehnik34; 05.10.2010 в 15:30.
Чисто.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 40
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:MalOb-IJ [Cryp] )
Уважаемый(ая) tehnik34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.