-
Junior Member
- Вес репутации
- 50
Вирусная активность
Доброе время суток.Возникла проблемма при лечении компьютера. Прогонял утилитами от Касперского и веба, вирусы обнаружены и удалены, однако после перезагрузки и подключения к Интернету, касперский ругается на SVCHOST.EXE, который тянет файл с soft.jajaca.com/lib
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}');
QuarantineFile('C:\WINDOWS\system32\waeiaprnlib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\obikm.cc3','');
QuarantineFile('C:\WINDOWS\system32\Mcaerfe.exe','');
QuarantineFile('C:\WINDOWS\system32\O8AG5P67\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\N608NS6L\D001.exe','');
QuarantineFile('C:\WINDOWS\system32\O8AG5P67\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\08407DB8\J002.exe','');
DeleteService('u7t');
DeleteService('fghj');
DeleteService('dbbbed60');
DeleteService('bgkuil');
QuarantineFile('C:\WINDOWS\system32\O8AG5P67\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\pkzhgy.exe','');
DeleteService('bdf');
DeleteFile('C:\WINDOWS\system32\pkzhgy.exe');
DeleteFile('C:\WINDOWS\system32\O8AG5P67\J001.exe');
DeleteFile('C:\WINDOWS\system32\08407DB8\J002.exe');
DeleteFile('C:\WINDOWS\system32\O8AG5P67\J002.exe');
DeleteFile('C:\WINDOWS\system32\N608NS6L\D001.exe');
DeleteFile('C:\WINDOWS\system32\O8AG5P67\H001.exe');
DeleteFile('C:\WINDOWS\system32\Mcaerfe.exe');
DeleteFile('C:\WINDOWS\system32\waeiaprnlib.dll');
DeleteFileMask('C:\WINDOWS\system32\O8AG5P67', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\O8AG5P67');
DeleteFileMask('C:\WINDOWS\system32\08407DB8', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\08407DB8');
DeleteFileMask('C:\WINDOWS\system32\N608NS6L', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\N608NS6L');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaeiSvc\Parameters','ServiceDll');
DeleteFile('c:\Recycled\userinit.exe');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
А также
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Все требуемые логи сделал и проверки сделал, касперский перестал ругаться на SVCHOST.EXE, который тянет файл с soft.jajaca.com/lib, но по прежнему не обновляется- пишет ошибка при подключении к источнику обновлений.
Последний раз редактировалось ches66; 06.11.2010 в 11:35.
-
- удалите в MBAM
Код:
Зараженные модули в памяти:
c:\documents and settings\all users\application data\Storm\update\%sessionname%\obikm.cc3 (Trojan.ServiceHijacker) -> No action taken.
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remoteaccess (Trojan.ServiceHijacker) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDT_TOOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_MD_ServicesB1 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDT_TOOL (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME% (Trojan.ServiceHijacker) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\waeiapsclib.dll (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\waegaprnlib.dll (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\waehaprnlib.dll (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\CP82O1QE\A04.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\Ульяна\DoctorWeb\Quarantine\wafaprnlib.dll (Malware.Packer) -> No action taken.
C:\Documents and Settings\Ульяна\DoctorWeb\Quarantine\H001.exe (Backdoor.Xyligan) -> No action taken.
C:\avz4\avz4\Quarantine\2010-11-05\avz00031.dta (Malware.Packer) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\obikm.cc3 (Trojan.ServiceHijacker) -> No action taken.
C:\WINDOWS\HuangZongDanger.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\HuangZongTongJiMark.ini (Malware.Trace) -> No action taken.
-
-
Junior Member
- Вес репутации
- 50
Спасибо большое !!! Все просто замечательно ! )
-
А также
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\tcpz-x86d.sys
Driver::
WafSvc
WaegSvc
WaehSvc
WaeiSvc
TCPZ
Folder::
C:\FOUND.001
c:\windows\system32\Y6DC0SR7
c:\windows\system32\XKHV27FT
c:\windows\system32\XTOF13LE
c:\windows\system32\XJMHMX4G
c:\windows\system32\2NXL66MC
c:\windows\system32\28B2EK4J
c:\windows\system32\2TOKLWOQ
c:\windows\system32\14YIPQZ2
c:\windows\system32\1GZNM7HW
c:\windows\system32\1603EZ5R
c:\windows\system32\0THYRAUR
c:\windows\system32\0SVEICCY
c:\windows\system32\0RVZ6Q3V
c:\windows\system32\0SQL5DH4
c:\windows\system32\0JQ1W45Z
c:\windows\system32\ZI4GN6N6
c:\windows\system32\ZVISXW3C
c:\windows\system32\ZIZNB6RD
c:\windows\system32\ZK61CGUV
c:\windows\system32\YA33XBEX
c:\windows\system32\Y7RXK2GL
c:\windows\system32\YVYE1NK4
c:\windows\system32\YV2EWYHU
c:\windows\system32\FFBOK3BZ
c:\windows\system32\FBV30X7U
c:\windows\system32\EJPHLLG1
c:\windows\system32\EUNMNR04
c:\windows\system32\E4KRPXM7
c:\windows\system32\E2URA2YM
c:\windows\system32\EN78HFIT
c:\windows\system32\DVP7C17T
c:\windows\system32\DTZ7W5K6
c:\windows\system32\CP82O1QE
c:\windows\system32\CXP0IOGE
c:\windows\system32\C6KREWWO
c:\windows\system32\CSX8LAGV
c:\windows\system32\BJSW028X
c:\windows\system32\BSMOWCO7
c:\windows\system32\BPXOHG1L
c:\windows\system32\BMUWZXOP
c:\windows\system32\AJ4XL202
c:\windows\system32\AG143KN6
c:\windows\system32\API3X5D7
c:\windows\system32\AAWL4JWF
c:\windows\system32\AJDJY4MF
c:\windows\system32\ARTHTQDG
c:\windows\system32\LUMJ4SA6
c:\windows\system32\LSWJQXML
c:\windows\system32\L0QBM52V
c:\windows\system32\LLRZRWVS
c:\windows\system32\KLI6KL38
c:\windows\system32\K5VORYMG
c:\windows\system32\KFCMLKDH
c:\windows\system32\KOJ5JGI0
c:\windows\system32\KAAGTGRH
c:\windows\system32\KJ37PP6S
c:\windows\system32\JEO8UYWJ
c:\windows\system32\JNIZQ7CT
c:\windows\system32\JKS0BCO6
c:\windows\system32\JI20WH0K
c:\windows\system32\J2HI3UKR
c:\windows\system32\I22XKJWE
c:\windows\system32\INGFRWFL
c:\windows\system32\IXNYPSL4
c:\windows\system32\HUK57A78
c:\windows\system32\HRCHBT60
c:\windows\system32\GUYVRFXE
c:\windows\system32\FQ5I5M4Z
c:\windows\system32\FXWUVXFG
c:\windows\system32\F500OWG7
c:\windows\system32\WZ85GGK7
c:\windows\system32\WKMNNT2F
c:\windows\system32\WTGEJ2JP
c:\windows\system32\WF6OS2S5
c:\windows\system32\WC4WCKFA
c:\windows\system32\W814U11E
c:\windows\system32\V5YCDJOI
c:\windows\system32\VRPMMKXY
c:\windows\system32\VNMU41K2
c:\windows\system32\V8D4F1TJ
c:\windows\system32\V6N4Z65W
c:\windows\system32\VGHWVFL6
c:\windows\system32\U1754FUO
c:\windows\system32\UB2X0OAY
c:\windows\system32\U7Z4J5W2
c:\windows\system32\U4WD2NJ5
c:\windows\system32\U16ENSVK
c:\windows\system32\UOO802KK
c:\windows\system32\RQ4OBFAW
c:\windows\system32\RN1WTWW0
c:\windows\system32\RKCWE18E
c:\windows\system32\MHFSPONZ
c:\windows\system32\M3ZNXB8P
c:\windows\system32\MUEJG4GR
c:\windows\system32\L8IGT4BH
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WafSvc"=-
"WaegSvc"=-
"WaehSvc"=-
"WaeiSvc"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\waeiaprnlib.dll - Net-Worm.Win32.Kolab.mmx ( DrWEB: Trojan.MulDrop1.51798, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )
-