Касперский ругаеться на вирус soft.jajaca.com/lib.zip еще процессы h001.exe h002.exe и в таком роде, читал на форуме у кого-то была такая же проблема...
Касперский ругаеться на вирус soft.jajaca.com/lib.zip еще процессы h001.exe h002.exe и в таком роде, читал на форуме у кого-то была такая же проблема...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\waivaprnlib.dll',''); QuarantineFile('C:\WINDOWS\system32\05.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\mtgfln.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\mtgfln.sys'); DeleteFile('C:\WINDOWS\system32\05.tmp'); DeleteFile('C:\WINDOWS\system32\waivaprnlib.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvcReg('WaivSvc'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=96458).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
новый syschek
компьютер кстати сам не перезагрузился
Скрипт как будто и не выполняли...
Выполните его в безопасном режиме.
После перезагрузки сделайте лог еще раз.
I am not young enough to know everything...
теперь уже утром, это рабочая лошадка главбуха, в 9-00 попробую, спасиба логи выложу
А также
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Avz в безопасном режиме опять не перезагрузила комп, вылезла ошибка "Invalid data type for 'DllName'",
Все понятно. Это же сетевой червь, а у вас система старая и дырявая!Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Сколько его ни лечи, опять будет приходить, пока лазейки не закроем.
Нужно установить SP3 и последующие обновления безопасности, после этого ваш антивирус прекрасно справится.
I am not young enough to know everything...
спасибо будем пробовать
И сообщение №7 не игнорируйте, пожалуйста
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
после устанвки SP3 и IE8 таже ситуация каспер нелечит, теже процессы. Каспер начинает ругаться вовремя подключеного интернета, и еще в папке System32 очень много подозрительных папок с названием из набора букв. вот новые логи, пойду сделаю еще combofix
вот результат combofix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКїctr.dll c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe c:\windows\is-2UUEH.exe c:\windows\system32\waivapsclib.dll c:\windows\system32\05.tmp Driver:: ushpo WaivSvc TCPZ NetSvc:: Folder:: c:\windows\system32\N7WKO7IK c:\windows\system32\N7NRHWP0 c:\windows\system32\N7EYALXH c:\windows\system32\7P6NXD7M c:\windows\system32\7PXUQ1F2 c:\windows\system32\7OO1JRMJ c:\windows\system32\7ZZZNKXV c:\windows\system32\7ZQ6G84C c:\windows\system32\6ZHF8XCS c:\windows\system32\6Z7M1MK8 c:\windows\system32\6BIK4GUL c:\windows\system32\6A8RX411 c:\windows\system32\5YG7FP5L c:\windows\system32\5X6F7ED0 c:\windows\system32\5XXM02LH c:\windows\system32\5XOUTRSX c:\windows\system32\5LVBBCWH c:\windows\system32\4LMI303W c:\windows\system32\4KDPWQBD c:\windows\system32\4K3XPFIT c:\windows\system32\4KU4I3QA c:\windows\system32\4V42MW0M c:\windows\system32\3JCJ3H45 c:\windows\system32\3J2QW5CM c:\windows\system32\36A7EQG5 c:\windows\system32\360F6FNL c:\windows\system32\25SMZ4U1 c:\windows\system32\2TZ2HPYL c:\windows\system32\25A0LIAY c:\windows\system32\2407E6HE c:\windows\system32\2T7PURLX c:\windows\system32\16CM8RHN c:\windows\system32\1LGJNSCC c:\windows\system32\1ZJH1S71 c:\windows\system32\1OQXJDCL c:\windows\system32\0ZEOOTC7 c:\windows\system32\0Z4VHIKN c:\windows\system32\0ZV2A6R3 c:\windows\system32\0YNA2VYK c:\windows\system32\0NURKG23 c:\windows\system32\ZYHIQW2Q c:\windows\system32\ZY7PJLB5 c:\windows\system32\ZMF505FP c:\windows\system32\ZM6DTUM5 c:\windows\system32\YADUBFQP c:\windows\system32\YXKBSZU8 c:\windows\system32\YXCILP1O c:\windows\system32\YLJZ2A57 c:\windows\system32\Y8PGKTAR c:\windows\system32\X8HNDJH7 c:\windows\system32\XWO4U3LR c:\windows\system32\X7Y2YWV3 c:\windows\system32\WB7OCUW7 c:\windows\system32\WAYV4J4O c:\windows\system32\VY5CM377 c:\windows\system32\VXWKFSGO c:\windows\system32\VM30WDK7 c:\windows\system32\VABHEXNQ c:\windows\system32\V81P6MV6 c:\windows\system32\ZHXMYHEH c:\windows\system32\YHOUR6MX c:\windows\system32\YSYRVZWA c:\windows\system32\YSPZOO3Q c:\windows\system32\BRY7NCBZ c:\windows\system32\BRPFG0IG c:\windows\system32\B3D5MGJ2 c:\windows\system32\A3H5HSGS c:\windows\system32\U4SXVOZS c:\windows\system32\UH2VZHA4 c:\windows\system32\UGT2S5HL c:\windows\system32\UGKALUP1 c:\windows\system32\TRV7OOZE c:\windows\system32\TRMFHD6U c:\windows\system32\4K75QO0K c:\windows\system32\2073YCA0 c:\windows\system32\2ZYBR0HG c:\windows\system32\1ZPIKPOW c:\windows\system32\1ZGPCEVD c:\windows\system32\1Y6W432T c:\windows\system32\0O663MLH c:\windows\system32\0GX8ZOPW c:\windows\system32\ZYPQMII6 c:\windows\system32\ZYGXF6QN c:\windows\system32\6PHCCL6Q c:\windows\system32\6YC37TN0 c:\windows\system32\YGAQKR3M c:\windows\system32\YF0XDGC1 c:\windows\system32\X2YMMPN1 c:\windows\system32\XRJV5XHU c:\windows\system32\X2XT42OX c:\windows\system32\W2O0XRWE c:\windows\system32\WQVIFCZX c:\windows\system32\V1VUU5KM c:\windows\system32\UK8RXPPJ c:\windows\system32\UVJP1JZV c:\windows\system32\UUKBQXRS c:\windows\system32\TZKO0EFN c:\windows\system32\TG4SNY4F c:\windows\system32\TZJVJQGJ c:\windows\system32\STQ4NDG0 c:\windows\system32\SAB88X5S c:\windows\system32\SSZQ0F1E c:\windows\system32\R4NH6V20 c:\windows\system32\R4EOZKAG Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaiuSvc"=- "WaivSvc"=- FileLook:: DirLook:: c:\documents and settings\Малютина.USZN051.000\PrivacIE
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось thyrex; 28.01.2011 в 21:05. Причина: TCPZ
каспер в безопасном ничего не нашел, вот новый отчет от combofix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКїctr.dll c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll c:\windows\system32\waivaprnlib.dll Driver:: NetSvc:: Folder:: c:\windows\system32\RGOM3DLT c:\windows\system32\RFFTW2SA c:\windows\system32\R3MBENWS c:\windows\system32\Q2DI6C38 c:\windows\system32\QQKYOW7S c:\windows\system32\QSRDP4AB c:\windows\system32\QSIKIUHR c:\windows\system32\PS8RBJO7 c:\windows\system32\PGG8S3SR c:\windows\system32\PG6GLS06 c:\windows\system32\PFXNDH7N c:\windows\system32\PUBDYSVW c:\windows\system32\5H51EAZY c:\windows\system32\54DJVU3I c:\windows\system32\4GNGZNFU c:\windows\system32\4GEORCMB c:\windows\system32\KBTJUO3P c:\windows\system32\KZ0ZC878 c:\windows\system32\KYR74XFP c:\windows\system32\KNYOMIJ8 c:\windows\system32\KY8MQCUL c:\windows\system32\JX0TJ011 c:\windows\system32\JABRNTCF c:\windows\system32\JXI74EGY c:\windows\system32\JW8GX2NE c:\windows\system32\J8JD1WYR c:\windows\system32\IWQUJH2B c:\windows\system32\I70SNADN c:\windows\system32\I7RZFYL3 c:\windows\system32\IVYGWJON c:\windows\system32\H68E0CZZ c:\windows\system32\H6ZLT16G c:\windows\system32\HIAJXUIT c:\windows\system32\H5H0FFMD c:\windows\system32\GHJ5CW35 c:\windows\system32\GG0KXBJ1 c:\windows\system32\GGRRQZQI c:\windows\system32\GGIYJOXY c:\windows\system32\FF85CD4F c:\windows\system32\FFZE41DU c:\windows\system32\FQAB8VN7 c:\windows\system32\FEHSQGRR c:\windows\system32\EE7ZJ4Y7 c:\windows\system32\EPIXNXAK c:\windows\system32\EP84GMH0 c:\windows\system32\E0J2KGRD c:\windows\system32\EOQJ10VW c:\windows\system32\DOHQUP3D c:\windows\system32\DZSOYIEQ c:\windows\system32\DNZ5F2I9 c:\windows\system32\DZA3JVTM c:\windows\system32\DY0BCL02 c:\windows\system32\CN7RT54M c:\windows\system32\CYIPXYFY c:\windows\system32\CX8WQNMF c:\windows\system32\CAJUUGXS c:\windows\system32\CXQCC01B c:\windows\system32\BWHJ4P8R c:\windows\system32\B8RH8JK4 c:\windows\system32\B7IO17RL c:\windows\system32\B78VUWY0 c:\windows\system32\A7Z2NL5H c:\windows\system32\A6QAGADX c:\windows\system32\AJ17K3OA c:\windows\system32\A68P1OST c:\windows\system32\AIJM5H26 c:\windows\system32\8IAUY5BM c:\windows\system32\8H01RUI2 c:\windows\system32\8HR8KKPJ c:\windows\system32\8HIGD8WZ c:\windows\system32\8SSEH17C c:\windows\system32\iSql Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
вот новый отчет
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКїctr.dll c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll Driver:: NetSvc:: Folder:: c:\windows\system32\H57773TS c:\windows\system32\GHAD4MCM Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
- Сделайте лог MBAM
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\waivaprnlib.dll - Net-Worm.Win32.Kolab.skz ( DrWEB: BackDoor.Siggen.27856, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-QL [Trj] )
Уважаемый(ая) Vla-luka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.