Доброго вечера вам. У меня такая проблема. Совсем недавно открыл "Диспетчер задач" и увидел там не очень понятные .tmp файлы и exe-шники. Вообщем что долго тянуть, скидываю логи.
Доброго вечера вам. У меня такая проблема. Совсем недавно открыл "Диспетчер задач" и увидел там не очень понятные .tmp файлы и exe-шники. Вообщем что долго тянуть, скидываю логи.
Здравствуйте.
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и переделайте логи.Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Извиняюь за причиненные не удобства. Забыл обновить с прошлого раза.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\957.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\892.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\849.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\656.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\633.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\544.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\109.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\028.exe',''); QuarantineFile('C:\WINDOWS\system32\zussezu.exe',''); QuarantineFile('C:\WINDOWS\system32\tyssuwalin.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\howu.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\zavlc1id5o0.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\v71mnsdtz6.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\qgc1id5o0v.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\fgbh2ndefv.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\fxmdk.exe',''); QuarantineFile('C:\WINDOWS\system32\soucuv.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7252696083-9851626588-915695178-4856\djwi2kcew.exe',''); DeleteFile('C:\WINDOWS\system32\soucuv.exe'); DeleteFile('C:\Documents and Settings\Administrator\fxmdk.exe'); DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\fgbh2ndefv.exe'); DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\qgc1id5o0v.exe'); DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\v71mnsdtz6.exe'); DeleteFile('C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\zavlc1id5o0.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\howu.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe'); DeleteFile('C:\WINDOWS\system32\tyssuwalin.exe'); DeleteFile('C:\WINDOWS\system32\zussezu.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\028.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\109.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\544.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\633.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\656.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\849.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\892.exe'); DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\957.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7252696083-9851626588-915695178-4856\djwi2kcew.exe'); DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','ticir'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','ticir'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','fanelys'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','fanelys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','poumuquoo'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','fanelys'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ia2eyxiv'); ExecuteRepair(16); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
А ещё сделайте лог такой утилитой.
Карантин выслал, логи сделал.
Стало чуть-чуть лучше.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\documents and settings\localservice\application data\microsoft\soottusout.exe'); TerminateProcessByName('c:\windows\temp\ntchwcbmtyrt5a2aba6a.tmp'); TerminateProcessByName('c:\windows\temp\gtczrcfttaq58c41c51.tmp'); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\varagy.exe',''); QuarantineFile('c:\documents and settings\localservice\application data\microsoft\soottusout.exe',''); QuarantineFile('c:\windows\temp\ntchwcbmtyrt5a2aba6a.tmp',''); QuarantineFile('c:\windows\temp\gtczrcfttaq58c41c51.tmp',''); DeleteFile('c:\windows\temp\gtczrcfttaq58c41c51.tmp'); DeleteFile('c:\windows\temp\ntchwcbmtyrt5a2aba6a.tmp'); DeleteFile('c:\documents and settings\localservice\application data\microsoft\soottusout.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\varagy.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\zussezu.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','fanelys'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','fanelys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('eg1oy7fynynmuwuw'); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Архив карантина весит 1кб. Это нормально?
Добавлено через 1 минуту
И не отсылается..
Последний раз редактировалось pi2ox; 13.03.2011 в 10:56. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 58
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\administrator\\fxmdk.exe - P2P-Worm.Win32.Palevo.caii ( DrWEB: Win32.HLLW.Autoruner.44048, BitDefender: Application.Generic.346417, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\documents and settings\\administrator\\local settings\\temp\\028.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\local settings\\temp\\633.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\local settings\\temp\\656.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\local settings\\temp\\849.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\local settings\\temp\\892.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\local settings\\temp\\957.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\fgbh2ndefv.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\qgc1id5o0v.exe - Trojan-Downloader.Win32.Refroso.crf ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.7347905, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\v71mnsdtz6.exe - Trojan-Downloader.Win32.Refroso.cqx ( DrWEB: Trojan.DownLoad2.31310, BitDefender: Trojan.Generic.5600545, AVAST4: Win32:Trojan-gen )
- c:\\documents and settings\\administrator\\главное меню\\программы\\автозагрузка\\zavlc1id5o0.exe - Trojan-Downloader.Win32.Refroso.cqy ( DrWEB: Trojan.DownLoad2.31310, BitDefender: Backdoor.Generic.671405, AVAST4: Win32:Trojan-gen )
- c:\\documents and settings\\localservice\\application data\\microsoft\\howu.exe - Trojan-Dropper.Win32.VB.awau ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )
- c:\\documents and settings\\localservice\\application data\\microsoft\\zussezu.exe - Trojan-Dropper.Win32.VB.awau ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )
- c:\\recycler\\s-1-5-21-7252696083-9851626588-915695178-4856\\djwi2kcew.exe - Trojan.Win32.Refroso.ddad ( DrWEB: Trojan.DownLoader1.37726, BitDefender: Trojan.Generic.6702772, AVAST4: Win32:Inject-AFM [Trj] )
- c:\\windows\\system32\\soucuv.exe - Trojan-Dropper.Win32.VB.awau ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )
- c:\\windows\\system32\\tyssuwalin.exe - Trojan-Dropper.Win32.VB.awau ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )
- c:\\windows\\system32\\zussezu.exe - Trojan-Dropper.Win32.VB.awau ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6073264, AVAST4: Win32:VB-RTZ [Trj] )
Уважаемый(ая) pi2ox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.