Блокирует выход в интернет,вроде все его корни удаляю в реестре и на диске,но с каждой перезагрузкой появляется заново.
Вложение 299309
Вложение 299310
Вложение 299311
Блокирует выход в интернет,вроде все его корни удаляю в реестре и на диске,но с каждой перезагрузкой появляется заново.
Вложение 299309
Вложение 299310
Вложение 299311
Последний раз редактировалось DmitriyK90; 15.02.2011 в 02:32.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\ggdrive32.exe'); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('c:\windows\ggdrive32.exe',''); DeleteFile('c:\windows\ggdrive32.exe'); BC_DeleteFile('c:\windows\ggdrive32.exe'); DeleteFile('C:\WINDOWS\ggdrive32.exe'); BC_DeleteFile('C:\WINDOWS\ggdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
Чисто.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
Около часа назад процесс опять появился.
Вложение 299448
Вложение 299449
Вложение 299450
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\ggdrive32.exe'); QuarantineFile('C:\WINDOWS\system32\02.exe',''); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\UH6JWVUX\udv[1].exe ',''); DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Set-tings\Temporary Internet Files\Content.IE5\UH6JWVUX\udv[1].exe '); DeleteFile('C:\WINDOWS\ggdrive32.exe'); DeleteFile('C:\WINDOWS\system32\02.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложение 299506
Вложение 299507
Вложение 299508
лог полного сканирования МВАМ
Вложение 299509
Все было сделано при отключении интернета,но как только включил,чтобы зайти сюда и отправить логи,Nod32 сразу блокирует атаки:
16.02.2011 3:00:28 Real-time file system protection file
C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:28 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:28 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:25 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe a variant of Win32/Injector.EOG trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:25 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\GGTLP4E1\serv8[1].exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:21 HTTP filter file one.natnatraoi.com/serv8.exe Win32/TrojanProxy.Ranky trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
16.02.2011 3:00:21 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\GGTLP4E1\dq[1].exe a variant of Win32/Injector.EOG trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:18 HTTP filter file one.natnatraoi.com/dq.exe a variant of Win32/Injector.EOG trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
16.02.2011 3:00:05 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe IRC/SdBot trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:05 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\YH0AB34N\ms[1].exe IRC/SdBot trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 2:59:57 HTTP filter file two.natnatraoi.com/ms.exe IRC/SdBot trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
И если я все понял,то в логах данная информация будет отсутствовать..
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
- Отключитесь от сети.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe',''); QuarantineFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe',''); QuarantineFile('c:\WINDOWS\system32\vfp8rrus.dll',''); QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe',''); QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe ',''); QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe',''); QuarantineFile('d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe ',''); DeleteFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe'); DeleteFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe'); DeleteFile('d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe '); QuarantineFile('C:\WINDOWS\system32\13.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\13.exe'); DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe '); DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe'); DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe'); BC_DeleteFile('C:\WINDOWS\system32\13.exe'); DeleteFileMask('c:\RECYCLER\', '*.*', true); DeleteFileMask('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5', '*.*', true); QuarantineFileF('%system32%', '??.exe', false,'', 0, 0, '1.02.2011', '16.02.2011'); QuarantineFileF('C:\Documents and Settings\Дмитрий.08AE6569528448A\', '*.exe', false,'', 0, 0, '1.02.2011', '16.02.2011'); BC_ImportAll; ExecuteSysClean; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
В MBAM удалите (некоторых строк может не быть)
Подключите сеть. Логи повторите.Код:Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken. Заражённые папки: c:\program files\microsoft common (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken. c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Заражённые файлы: c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe (Worm.Palevo) -> No action taken. c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe (Trojan.Autorun) -> No action taken. d:\avz4\avz4\quarantine\2011-02-15\avz00001.dta (Trojan.Autorun) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe (Malware.Packer.Gen) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121670.exe (Malware.Packer.Gen) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0122040.exe (Trojan.Downloader) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128180.exe (Malware.Packer.Gen) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128186.exe (Malware.Packer.Gen) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128210.exe (Malware.Packer.Gen) -> No action taken. d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128211.exe (Malware.Packer.Gen) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Paula rhei.
Поддержать проект можно тут
А также
Internet Explorer так и не обновили
А обновления после SP3 тоже вряд ли поставили?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложение 299629
Вложение 299630
Вложение 299631
Поставил и обновления после sp3 и обновил IE
Плохого не видно. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да,огромное спасибо!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 55
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice.nt authority.000\\local settings\\temporary internet files\\content.ie5\\4fix85gr\\q96[1].exe - Trojan.Win32.Inject.bamn ( DrWEB: Trojan.Packed.21428, BitDefender: Trojan.Generic.5737711, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Inject.baow ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5533377, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Worm.Win32.Bybz.dzw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.132358, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\windows\\ggdrive32.exe - Trojan.Win32.Inject.bamn ( DrWEB: Trojan.Packed.21428, BitDefender: Trojan.Generic.5737711, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\system32\\27.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\windows\\system32\\57.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\windows\\system32\\70.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\xdx.exe - Trojan.Win32.Inject.baow ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5533377, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )
Уважаемый(ая) DmitriyK90, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.