Постоянно выскакивают троянскиепрограммы с IP и плодятся .exe файлы вируса в папке Temp
Вот логи
Постоянно выскакивают троянскиепрограммы с IP и плодятся .exe файлы вируса в папке Temp
Вот логи
Последний раз редактировалось СергейТамбов; 04.01.2011 в 10:46.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: OLE (1/5) - - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\.exe',''); QuarantineFile('C:\WINDOWS\system32\scdll.exe',''); QuarantineFile('C:\WINDOWS\system32\svcs32.exe',''); QuarantineFile('C:\WINDOWS\system32\syre32.exe',''); QuarantineFile('C:\WINDOWS\system32\wbem\wmiprvse.exe',''); QuarantineFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\system32\syre32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32'); DeleteFile('C:\WINDOWS\system32\svcs32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svcs32'); DeleteFile('C:\WINDOWS\system32\scdll.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','502'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','110'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','118'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','799'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','spool32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','014'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','743'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','221'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','82'); DeleteFile('C:\WINDOWS\system32\.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
сорри
Последний раз редактировалось СергейТамбов; 04.10.2010 в 14:01.
карантин закачал
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\Z90\Local Settings\Temporary Internet Files\Content.IE5\2HIMFUDE\prr[1].exe',''); DeleteFile('C:\Documents and Settings\Z90\Local Settings\Temporary Internet Files\Content.IE5\2HIMFUDE\prr[1].exe'); QuarantineFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y20RA8JU\y[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y20RA8JU\y[1].exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RMZ0TNZW\y[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RMZ0TNZW\y[1].exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\35C9BRPG\y[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\35C9BRPG\y[1].exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
- Повторите лог virusinfo_syscure.zip
готово
Последний раз редактировалось СергейТамбов; 04.10.2010 в 14:01.
Сделайте лог МВАМ, не хотят умирать
готово
Последний раз редактировалось СергейТамбов; 04.10.2010 в 14:01.
Удалите в МВАМ -
- Повторите лог МВАМКод:Зараженные модули в памяти: C:\WINDOWS\system32\wpsecure.dll (Trojan.Vundo.H) -> No action taken. Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e51fd59-8b73-4e82-be10-4621d95035f6} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{9e51fd59-8b73-4e82-be10-4621d95035f6} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9e51fd59-8b73-4e82-be10-4621d95035f6} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56b38f40-4e70-11d4-a076-0080ad86ba2f} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{56b38f40-4e70-11d4-a076-0080ad86ba2f} (Trojan.BHO) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken. Зараженные папки: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\wpsecure.dll (Trojan.Vundo.H) -> No action taken. C:\RECYCLER\S-1-5-21-0075034047-7241733427-248733407-7078\syscr.exe (Worm.Autorun) -> No action taken. C:\RECYCLER\S-1-5-21-1205019087-5921488835-878508798-9129\syscr.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\03.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\04.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\06.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\11.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\20.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\70.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\71.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\73.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\81.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\83.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\30.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\31.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\35.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\36.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\44.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\45.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\48.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\51.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\57.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\63.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\64.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\65.exe (Worm.Autorun) -> No action taken. C:\WINDOWS\system32\66.exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\35C9BRPG\7[1].exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\40JAQ29Y\7[1].exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\D8OL3RUH\7[1].exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JV4EL53X\0[1].exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SQLX60WV\0[1].exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UVVENWL7\0[1].exe (Worm.Autorun) -> No action taken. C:\Documents and Settings\Z90\Local Settings\Temporary Internet Files\Content.IE5\SY0JM765\zbf[1].exe (Trojan.Agent) -> No action taken. C:\Documents and Settings\Администратор\Application Data\ltzqai.exe (Trojan.Agent) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00002.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00003.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00004.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00005.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00006.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00007.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00008.dta (Worm.Autorun) -> No action taken. D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00009.dta (Worm.Autorun) -> No action taken. C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken. C:\WINDOWS\hosts (Trojan.Agent) -> No action taken. C:\WINDOWS\Regsvr.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\cgmopenbho.dll (Trojan.BHO) -> No action taken.
лог после удаления
в AVZ делать повторно?
Последний раз редактировалось СергейТамбов; 04.10.2010 в 14:01.
Чисто, что с проблемой?
Спасибо огромное !!!! Комп работает как часы!
Рекомендуется обновить Internet Explorer v7.00(даже если Вы им не пользутесь)
вирусы полезли более страшной силой. каждую секунду нод 32 ловит, то в систем 32 то теипах=(
произошло буквально через 2-3 часа. интернет странички не открывались и ничего на комп не ставилось
- сделайте лог Combofix
готово
Последний раз редактировалось СергейТамбов; 04.10.2010 в 14:01.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\cfdrive32.exe c:\windows\system32\msvmiode.exe Driver:: NetSvc:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
не помогло. так же выскакивают, но уже 1-2, но начала внутренняя сеть отваливаться
вот новый лог
Последний раз редактировалось СергейТамбов; 04.10.2010 в 14:01.
Лог МВАМ сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) СергейТамбов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.