Был найден BackDoor.Tdss.565. Посмотрите, пожалуйста, чисто ли в логах
Был найден BackDoor.Tdss.565. Посмотрите, пожалуйста, чисто ли в логах
Последний раз редактировалось mrHill; 06.02.2011 в 01:28.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('CrProCS'); QuarantineFile('C:\WINDOWS\system\lssas32.exe',''); QuarantineFile('C:\Temp\dwm.exe',''); QuarantineFile('C:\WINDOWS\miavjpn.dll',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\msxslt3.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('c:\documents and settings\admin\wuaucldt.exe',''); QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('mptufpqt.dll',''); QuarantineFile('mabhpyhq.dll',''); QuarantineFile('mcxglcmx.dll',''); QuarantineFile('mirlbquj.dll',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('c:\documents and settings\all users\application data\acd systems\sp.dll',''); DeleteFile('mirlbquj.dll'); DeleteFile('mcxglcmx.dll'); DeleteFile('mabhpyhq.dll'); DeleteFile('mptufpqt.dll'); DeleteFile('c:\windows\system32\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe'); DeleteFile('c:\documents and settings\admin\wuaucldt.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\WINDOWS\system32\msxslt3.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT'); DeleteFile('C:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); DeleteFile('C:\WINDOWS\miavjpn.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tdasagiqi'); DeleteFile('C:\WINDOWS\system\lssas32.exe'); BC_DeleteSvc('CrProCS'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Проверьтесь так - http://support.kaspersky.ru/faq?qid=208636926
- Лог работы приложите сюда
Карантин выслал
Лог ТДССКиллер'а
Последний раз редактировалось mrHill; 06.02.2011 в 01:28.
Повторите логи АВЗ
Лог АВЗ
Последний раз редактировалось mrHill; 06.02.2011 в 01:28.
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DelCLSID('96AFBE69-C3B0-4b00-8578-D933D2896EE2'); DeleteFile('C:\Documents and Settings\All Users\Application Data\ACD Systems\sp.DLL'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{96AFBE69-C3B0-4b00-8578-D933D2896EE2}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SPService\Parameters','ServiceDll'); DeleteFile('C:\Temp\dwm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winupd32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите логи АВЗ
Повторил лог
Последний раз редактировалось mrHill; 06.02.2011 в 01:28.
Один не хочет прибиваться
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DelCLSID('96AFBE69-C3B0-4b00-8578-D933D2896EE2'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{96AFBE69-C3B0-4b00-8578-D933D2896EE2}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SPService\Parameters','ServiceDll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\ACD Systems\sp.DLL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите лог
Повторил
Последний раз редактировалось mrHill; 06.02.2011 в 01:28.
Убился. Что с проблемой?
Рекомендуется
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
Пока работает комп нормально, симптомов никаких. Думаю, что проблема решена.
Спасибо! Рекомендации выполню.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\application data\\acd systems\\sp.dll - Trojan-Proxy.Win32.Agent.dhk ( DrWEB: BackDoor.ProxyBot.37, BitDefender: Trojan.Generic.6970176, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\miavjpn.dll - Trojan-Downloader.Win32.Mufanom.aqda ( DrWEB: Trojan.Hiloti.based.2, BitDefender: Gen:Variant.Hiloti.3, AVAST4: Win32:MalOb-CB [Cryp] )
Уважаемый(ая) mrHill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.