-
Junior Member
- Вес репутации
- 50
трояны, даунлоадеры, маскировка таск манагера...
После перезагрузки в автозапуске куча екзешников, запускаются из TEMP, из RECYCLER и т.п.
Зоопарк из нескольких троянов и вирусов.
Противодействует как минимум ноду32 и дрвебу.
AVZ запускается и работает (файлы прилагаются), но стандартные меры недостаточны - после перезагрузки зоопарк возрождается в полном объёме.
Чистить пофайлово, regedit PE с чистой системы подключённый на переходнике винт пробовал - не смог найти настоящего гада.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Temp\502371.exe','');
QuarantineFile('C:\WINDOWS\system32\civoquook.exe','');
QuarantineFile('C:\Documents and Settings\Loner\Application Data\juzjf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5398273390-8750248167-977906581-0071\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\vllhxxtj.exe','');
QuarantineFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\70bxss6.exe','');
QuarantineFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\1qmmhyy.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\NDIS.SYS','');
DeleteFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\1qmmhyy.exe');
DeleteFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\70bxss6.exe');
DeleteFile('C:\Documents and Settings\Loner\Главное меню\Программы\Автозагрузка\vllhxxtj.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5398273390-8750248167-977906581-0071\yv8g67.exe');
DeleteFile('C:\Documents and Settings\Loner\Application Data\juzjf.exe');
DeleteFile('C:\WINDOWS\system32\civoquook.exe');
DeleteFile('D:\Temp\502371.exe');
DeleteFile('C:\Documents and Settings\Loner\Local Settings\Temporary Internet Files\Content.IE5\JQGMHJK3\bgtvfdc[1].exe');
DeleteFile('C:\Documents and Settings\Loner\Local Settings\Temporary Internet Files\Content.IE5\JQGMHJK3\bhgvfercdw[1].exe');
DeleteFile('C:\Documents and Settings\Loner\Local Settings\Temporary Internet Files\Content.IE5\JQGMHJK3\brverfwdc[1].exe');
DeleteFile('C:\Documents and Settings\Loner\Local Settings\Temporary Internet Files\Content.IE5\JQGMHJK3\nbvcd[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89868).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Отослал карантин.
Новые логи тут.
Последний раз редактировалось Bratez; 14.10.2010 в 06:20.
Причина: cure.zip прикреплять не надо!
-
Больше ничего плохого не видно.
В AVZ отключите AVZPM и выполните стандартный скрипт #6.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Нда.
Однако сети и значительной части драйверов машинка лишилась - массово восклицательные знаки в диспетчере устройств...
А дистрибутива с оригинальными файлами тот, кто ставил систему, на винте не оставил.
Так что спасибо за помощь, но от переустановки системы, похоже, избавиться не удалось.
-
Сообщение от
qkowlew
от переустановки системы, похоже, избавиться не удалось.
Накатите поверх вашей, восстановлением, должно всё стать на свои места.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения вредоносные программы в карантинах не обнаружены
-