-
Junior Member
- Вес репутации
- 50
ВЫСОКАЯ АКТИВНОСТЬ ВИРУСОВ ПОМОГИТЕ!!!
Доброго времени суток!! Возникла проблемма при лечении компьютера. Прогонял утилитами от Касперского и веба, вирусы обнаружены и удалены, однако после перезагрузки и подключения к Интернету, касперский ругается на SVCHOST.EXE, который тянет файл с soft.jajaca.com/lib, также каспер постоянно находит
HEUR:Trojan.Win32.Generic;троянская программа Trojan.Win32.Scar.dcpw;Backdoor.Win32.Krafcot.abb; Trojan-Downloader.Win32.Agent.esye;Trojan.Win32.Scar.ddlz ;Backdoor.Win32.Trup.b;
и еще несколько разновидностей гадов... Помогите плс...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\waekaprnlib.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Выполните скрипт в АВЗ -
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
- прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ
-
-
Junior Member
- Вес репутации
- 50
Карантин отправил что делать дальше
скрипт выполнил, он почему-то 0 байт
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\waekaprnlib.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
Сообщение от
Olejah
- прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ
Это где?
-
-
Junior Member
- Вес репутации
- 50
Логи выполнил заново
при выполнениии скрипта этот фаил создается 0 байт --->
fystemRoot.log
Все выложил
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\iid176i7\g001.exe');
QuarantineFile('c:\windows\system32\iid176i7\g001.exe','');
TerminateProcessByName('c:\program files\pass.exe');
QuarantineFile('c:\program files\pass.exe','');
SetServiceStart('rfr', 4);
DeleteService('rfr');
StopService('rfr');
QuarantineFile('C:\WINDOWS\system32\IID176I7\G001.exe','');
DeleteService('u7t');
QuarantineFile('C:\WINDOWS\system32\WJE3DB67\J002.exe','');
DeleteService('wqdewfr');
QuarantineFile('C:\WINDOWS\system32\XunLei.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('linkdel.cmd','');
QuarantineFile('C:\WINDOWS\system32\x','');
QuarantineFile('C:\WINDOWS\csrsc.exe','');
DeleteFile('C:\WINDOWS\csrsc.exe');
DeleteFile('C:\WINDOWS\system32\x');
DeleteFile('C:\WINDOWS\system32\XunLei.exe');
BC_DeleteSvc('wqdewfr');
DeleteFile('C:\WINDOWS\system32\WJE3DB67\J002.exe');
BC_DeleteSvc('u7t');
DeleteFile('C:\WINDOWS\system32\IID176I7\G001.exe');
BC_DeleteSvc('rfr');
DeleteFile('c:\windows\system32\iid176i7\g001.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
Логи повторил, карантин новый выложил
Пока без изменений, также ломится в soft.jajaca.com/lib.zip каспер ругается!!!
Последний раз редактировалось olejah; 12.11.2010 в 12:27.
Причина: Убил активную ссылку
-
-
-
Junior Member
- Вес репутации
- 50
ComboFix лог вложил
Что дальше?
-
У Вас заражено очень много системных файлов, держите дистрибутив windows под рукой. Пробуем лечиться так - http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 50
Касперский вроде не ругается на вирусы, ругается только на ((ссылку -http://soft.jajaca.com/lib.zip...-))
-
Junior Member
- Вес репутации
- 50
Доброго времени суток! Как вы мне посоветовали. Прогнал сегодня LiveCD drWeb как оказалось системные файлы не заражены. Все в порядке, но проблема осталась
Касперский постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет ряд вирусов под названиями j001.exe...d002.exe и т.д.
Как это исправить
Добавлено через 32 минуты
Есть кто-нибуть живой !!!
Последний раз редактировалось Valhalla; 13.11.2010 в 15:49.
Причина: Добавлено
-
- сделайте повторный лог Combofix
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\csrsc.exe - HackTool.Win32.SQLInject.dh ( DrWEB: Trojan.DownLoad2.17307, BitDefender: Trojan.Dropper.Rootkit.NDA, AVAST4: Win32:Downloader-FAM [Trj] )
- c:\\windows\\system32\\waekaprnlib.dll - Net-Worm.Win32.Kolab.mrz ( DrWEB: Trojan.Siggen2.8116, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )
- c:\\windows\\system32\\xunlei.exe - Backdoor.Win32.Agent.bbpv
-