ПОМОГИТЕ!!! нахватался я вирусов всяких пород........Проверял DrWeb вычистил все что мог! Но вот какие-то бутлоадеры и всяческие msvmiode.exe,ali.exe не могу вытравить! Логи прикладываю!
Помогите избавиться от msvmiode.exe,ali.exe и прочей дряни!!
ПОМОГИТЕ!!! нахватался я вирусов всяких пород........Проверял DrWeb вычистил все что мог! Но вот какие-то бутлоадеры и всяческие msvmiode.exe,ali.exe не могу вытравить! Логи прикладываю!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('RGWIE.dll',''); QuarantineFile('C:\Windows\System32\Debug.dll',''); QuarantineFile('C:\WINDOWS\System32\cokrhh.dll',''); QuarantineFile('C:\WINDOWS\System32\cokrh2.dll',''); QuarantineFile('C:\WINDOWS\System32\cokrh1.dll',''); QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe',''); SetServiceStart('TCPZ', 4); DeleteService('TCPZ'); QuarantineFile('C:\WINDOWS\system32\SJAYEFO4\D002.exe',''); QuarantineFile('C:\WINDOWS\Atf.exe',''); QuarantineFile('C:\WINDOWS\system32\hpmg.exe',''); QuarantineFile('C:\WINDOWS\system32\BCVY1LF7\G001.exe',''); QuarantineFile('C:\WINDOWS\System32\ctsrv.exe',''); QuarantineFile('C:\WINDOWS\system32\eaaa.exe',''); QuarantineFile('C:\WINDOWS\system32\FOZEU38B\B89.exe',''); QuarantineFile('C:\WINDOWS\system32\6IXDXOT2\J001.exe',''); DeleteService('u7t'); DeleteService('supersev'); DeleteService('srgr'); DeleteService('NetActive'); DeleteService('MD ServicesB1'); DeleteService('hacking58'); DeleteService('Atif'); DeleteService('asfdsfdsfds'); QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys',''); QuarantineFile('c:\windows\system32\waibaprnlib.dll',''); TerminateProcessByName('c:\windows\system32\tuqrm.exe'); QuarantineFile('c:\windows\system32\tuqrm.exe',''); DeleteFile('c:\windows\system32\tuqrm.exe'); DeleteFile('c:\windows\system32\waibaprnlib.dll'); DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys'); DeleteFile('C:\WINDOWS\system32\6IXDXOT2\J001.exe'); DeleteFile('C:\WINDOWS\system32\FOZEU38B\B89.exe'); DeleteFile('C:\WINDOWS\system32\eaaa.exe'); DeleteFile('C:\WINDOWS\System32\ctsrv.exe'); DeleteFile('C:\WINDOWS\system32\BCVY1LF7\G001.exe'); DeleteFile('C:\WINDOWS\system32\hpmg.exe'); DeleteFile('C:\WINDOWS\Atf.exe'); DeleteFile('C:\WINDOWS\system32\SJAYEFO4\D002.exe'); DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-5766862215-8399272225-907251168-9286\winmap.exe,C:\RECYCLER\S-1-5-21-8945552487-5653678475-326842036-1892\syscr.exe,C:\RECYCLER\S-1-5-21-1667499963-4328217606-606495709-2722\winmap.exe,C:\RECYCLER\S-1-5-21-7392101617-8345053989-566565081-3836\syscr.exe,C:\RECYCLER\S-1-5-21-1667681270-6913820623-617370926-3214\winmap.exe,C:\Documents and Settings\User\Application Data\ltzqai.exe,C:\Documents and Settings\User\Application Data\oekx.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5002760767-4724529432-306338699-0784\syscr.exe,Explorer.exe'); DeleteFile('C:\WINDOWS\System32\cokrh1.dll'); DeleteFile('C:\WINDOWS\System32\cokrh2.dll'); DeleteFile('C:\WINDOWS\System32\cokrhh.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cokrhh\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cokrh2\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cokrh1\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaibSvc\Parameters','ServiceDll'); DeleteFile('C:\Windows\System32\Debug.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DeBuGjrq\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ох вирусы так и полезли после скрипта.....вижу экзешники в темпе и в корне на диске C.
Карантин выслал...сча сделаю логи..........
По моему ситуация ухудшаеться......spider после перезагрузок постоянно ловит dll в system32 пачками))) Вот все логи!
И еще))
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\tuqrm.exe c:\windows\system32\waibapsclib.dll c:\windows\system32\waeuapsclib.dll c:\windows\system32\waetapsclib.dll c:\windows\system32\ctsrv.#xe c:\windows\system32\waepapsclib.dll c:\windows\system32\waepaprnlib.dll c:\windows\system32\cokrh2.#ll c:\windows\system32\cokrh1.#ll c:\windows\system32\cokrhh.#ll c:\windows\system32\waeoapsclib.dll c:\windows\system32\waenapsclib.dll c:\windows\system32\waemaprnlib.dll Driver:: WaelSvc WaemSvc WaenSvc WaeoSvc cokrhh cokrh1 cokrh2 WaepSvc WaeqSvc WaerSvc WaesSvc WaetSvc WaeuSvc WaibSvc DeBuGjrq Folder:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaelSvc"=- "WaemSvc"=- "WaenSvc"=- "WaeoSvc"=- "cokrhh"=- "cokrh1"=- "cokrh2"=- "WaepSvc"=- "WaeqSvc"=- "WaerSvc"=- "WaesSvc"=- "WaetSvc"=- "WaeuSvc"=- "WaibSvc"=- NetSvc:: DeBuGjrq FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Удалите в МВАМВнимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращенаКод:Заражённые процессы в памяти: c:\WINDOWS\cfdrive32.exe (Trojan.LVBP) -> 3692 -> No action taken. c:\WINDOWS\cfdrive32.exe (Trojan.LVBP) -> 3644 -> No action taken. c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> 1172 -> No action taken. c:\WINDOWS\system32\tuqrm.exe (Worm.Palevo) -> 2276 -> No action taken. Заражённые ключи в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\FuckYou (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_MD_SERVICESB1 (Backdoor.Bot) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Backdoor.Bot) -> Value: MSODESNV7 -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Bad: (C:\RECYCLER\S-1-5-21-8369576832-0835461191-116873311-5580\syscr.exe) Good: () -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\User\Application Data\oekx.exe,C:\RECYCLER\S-1-5-21-2838977293-1465528416-639615995-7443\winmap.exe,explorer.exe,C:\Temp\202.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken. Заражённые папки: c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. Заражённые файлы: c:\WINDOWS\cfdrive32.exe (Trojan.LVBP) -> No action taken. c:\RECYCLER\s-1-5-21-8369576832-0835461191-116873311-5580\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-2516379816-0544277458-453581732-1956\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe (Backdoor.Bot) -> No action taken. c:\RECYCLER\s-1-5-21-5002760767-4724529432-306338699-0784\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-1667681270-6913820623-617370926-3214\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-7392101617-8345053989-566565081-3836\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-1667499963-4328217606-606495709-2722\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-8945552487-5653678475-326842036-1892\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-5766862215-8399272225-907251168-9286\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-7672517772-2674821583-078418533-4426\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-9980506124-3602090761-651421136-4382\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-2838977293-1465528416-639615995-7443\winmap.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\16.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\41.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\ctsrv.#xe (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waelapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waepaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waemaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waemapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waepapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waeqaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waeraprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waerapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waesaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waesapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waetaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waetapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waeuapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waibapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waeoaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waeoapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waenaprnlib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\waenapsclib.dll (Malware.Packer) -> No action taken. c:\WINDOWS\system32\BD23DF\krnln.fnr (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\BD23DF\HtmlView.fne (HackTool.Patcher) -> No action taken. c:\WINDOWS\system32\BD23DF\internet.fne (HackTool.Patcher) -> No action taken. c:\WINDOWS\system32\BD23DF\eAPI.fne (Worm.Autorun) -> No action taken. c:\WINDOWS\system32\BD23DF\dp1.fne (Worm.Autorun) -> No action taken. c:\WINDOWS\system32\BD23DF\cnvpe.fne (Worm.Autorun) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SN0VCTG7\ramad[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SN0VCTG7\vcco[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4LU3WDM3\vcco[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\HHFK806X\vcco[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\Q9SBUDWF\A12[1].exe (Malware.Packer) -> No action taken. c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\Q9SBUDWF\A12[2].exe (Malware.Packer) -> No action taken. c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\WDWZ6VUV\A99[1].exe (Malware.Packer) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\VZ5F75CW\install[1].48596.exe (Trojan.FraudPack) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\ITRWHKZI\install[1].48767.exe (Trojan.FraudPack) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\DWW3HT0P\install[1].48767.exe (Trojan.FraudPack.Gen) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\DWW3HT0P\install[1].48596.exe (Trojan.FraudPack.Gen) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\KPO5AJOX\meinsummer20019[1].cq (Trojan.LVBP) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\V35FJ9GW\mnbvcd[1].o0 (Trojan.Agent) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\ZFI3C39U\ewhjewm[1].wx (Trojan.Agent) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\TTCANFD1\msfuewg[1]._ (Trojan.LVBP) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\X9D23Z12\thenadioscbwh[1]._ (Trojan.Agent) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\WHY30LIV\mnbvcd[1].o0 (Trojan.Agent) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\2YVFXWR3\mnbvcd[1].o0 (Trojan.Agent) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\2YVFXWR3\psjefwbh[1]._ (Backdoor.Bot) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\2YVFXWR3\meinsummer20019[1].cq (Trojan.LVBP) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\63WZTQB2\trantonti[1].tn (Worm.Joleee) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\63WZTQB2\olyhtgarwe[1].kfc (Trojan.LVBP) -> No action taken. c:\documents and settings\User\local settings\temporary internet files\Content.IE5\MF1C197B\mp9gm0pndi8z[1] (Malware.Packer) -> No action taken. c:\documents and settings\User\application data\oekx.exe (Trojan.Agent) -> No action taken. c:\Temp\202.exe (Trojan.Agent) -> No action taken. c:\Temp\2902089.exe (Trojan.LVBP) -> No action taken. c:\Temp\5418917.exe (Trojan.LVBP) -> No action taken. c:\Temp\788.exe (Trojan.Agent) -> No action taken. c:\Temp\0367.exe (Trojan.LVBP) -> No action taken. c:\Temp\752.exe (Trojan.Agent) -> No action taken. c:\Temp\391.exe (Trojan.Agent) -> No action taken. c:\Temp\3369104.exe (Trojan.LVBP) -> No action taken. e:\avz4\quarantine\2010-12-13\avz00002.dta (Trojan.Agent) -> No action taken. e:\avz4\quarantine\2010-12-13\avz00003.dta (Rootkit.Agent) -> No action taken. e:\avz4\quarantine\2010-12-13\avz00004.dta (Malware.Packer) -> No action taken. c:\documents and settings\User\application data\ltzqai.exe (Worm.Palevo) -> No action taken. c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken. c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken. c:\WINDOWS\system32\tuqrm.exe (Worm.Palevo) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новый лог МВАМ
Последний раз редактировалось thyrex; 14.12.2010 в 01:42.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новый отчет ComboFix.txt
Сейчас буду мучать MBAM
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.16802, BitDefender: Trojan.Generic.KDV.87961, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\debug.dll - Trojan-GameThief.Win32.Magania.ehsd ( DrWEB: Trojan.PWS.Stealer.360, BitDefender: Gen:Variant.Graftor.580, AVAST4: Win32:Dialer-BMN [Trj] )
- c:\\windows\\system32\\tuqrm.exe - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\waibaprnlib.dll - Net-Worm.Win32.Kolab.osq ( DrWEB: Trojan.MulDrop1.56924, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-YG [Trj] )
Уважаемый(ая) wavin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
