Зашёл на сайт freeserials.com понахватался там всякой ерунды
Заблокирован диспетчер задач,как выхожу в инет - сразу NOD находит аж троянов 40! и со всеми не может справиться(((
Помогите,пожалуйста. что делать?
Printable View
Зашёл на сайт freeserials.com понахватался там всякой ерунды
Заблокирован диспетчер задач,как выхожу в инет - сразу NOD находит аж троянов 40! и со всеми не может справиться(((
Помогите,пожалуйста. что делать?
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\FIRSTC~1.SCR','');
QuarantineFile('C:\\dvt.exe','');
QuarantineFile('C:\WINDOWS\system32\SysZSDFS.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('c:\windows\system32\edlin.dll','');
QuarantineFile('c:\windows\system32\kernelwind32.exe','');
QuarantineFile('c:\windows\system32\dllh8jkd1q7.exe','');
QuarantineFile('c:\windows\system32\dllh8jkd1q6.exe','');
DeleteFile('c:\windows\system32\dllh8jkd1q6.exe');
DeleteFile('c:\windows\system32\dllh8jkd1q7.exe');
DeleteFile('c:\windows\system32\kernelwind32.exe');
DeleteFile('c:\windows\system32\edlin.dll');
DeleteFile('C:\\dvt.exe');
DeleteFile('C:\WINDOWS\system32\rpcc.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\edlin.dll
O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\
O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Opera,MOZILA полетели(((
И вот ещё при запуске QIP
точка входа в процедуру InternetGetSecurityinfoByUrl не найдена в библиотеке DLL WININET.DLL
Но прога сама запускается
Где карантин?
Я случайно весь карантин удалил(((
Вроде уже комп работает без сбоев,когда выхожу в инет, уже не выскакивает по 20 предупреждений о вирусах
Большое спасибо за помощь!
Строчку в хиджаке восстановите:
O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\
Это ломалка вашего антивируса. Если не сделать, то придется искать другой.
Ну так верни из корзины ;)
[QUOTE='DIAMOND;122268']Я случайно весь карантин удалил((([/QUOTE]Что за народ странный, ему помогаешь, а в ответ ни какой благодарности, даже в виде карантина. :(
[SIZE=3][FONT=Times New Roman] Проверил комп с помощью Spybot:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]CoolWWWSearch: Текстовый файл (Файл, nothing done)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] C:\WINDOWS\system32\vx.tll[/FONT][/SIZE]
[FONT=Times New Roman][/FONT]
[SIZE=3][FONT=Times New Roman]SpySheriff: Текстовый файл (Файл, nothing done)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] C:\WINDOWS\system32\svcp.csv[/FONT][/SIZE]
[FONT=Times New Roman][/FONT]
[SIZE=3][FONT=Times New Roman]Win23.PE: Настройки (Ключ реестра, nothing done)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386[/FONT][/SIZE]
[FONT=Times New Roman][/FONT]
[SIZE=3][FONT=Times New Roman]Win23.PE: Настройки (Ключ реестра, nothing done)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386[/FONT][/SIZE]
[FONT=Times New Roman][/FONT]
[SIZE=3][FONT=Times New Roman] И сразу после этого NOD находит Win32/Nuwar червь изолирован – удален. Попытка открыть файл приложения: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.[/FONT][/SIZE]
Повторите логи.
Обновил SPYBOt, и опять нашёл всякого добра)
Smitfraud-C.: Настройки (Ключ реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts
Smitfraud-C.: Настройки (Значение реестра, nothing done)
HKEY_USERS\S-1-5-21-1844237615-73586283-1801674531-500\WindowsSubVersion
Smitfraud-C.: Страница интернет (Файл, nothing done)
C:\WINDOWS\system32\winsub.xml
Microsoft.Windows.IEFirewallBypass: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Internet Explorer\IEXPLORE.EXE
Microsoft.Windows.IEFirewallBypass: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Internet Explorer\IEXPLORE.EXE
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\faddress
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\fter
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\info_sze
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\ino
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\ip
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\net_insll
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\taloinata
Cimuz: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\tas
Nurech: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\pstincl
PWS.LDPinchIE: Настройки (Ключ реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Runtime
PWS.LDPinchIE: Настройки (Ключ реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Runtime
Smitfraud-C.EbayBill: ID приложения (Ключ реестра, nothing done)
HKEY_CLASSES_ROOT\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
Spabot: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\*spoolsvv*.exe
TelekomBill.Fake: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\cmpid
TelekomBill.Fake: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\h
TelekomBill.Fake: Настройки (Значение реестра, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load\kyrpa
Win32.Murlo.ff: Настройки (Ключ реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runtime2
Win32.Murlo.ff: Настройки (Ключ реестра, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runtime2
Логи прилагаются.Всё на удивление чисто:)
Выполните скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\FIRSTC~1.SCR','');
QuarantineFile('C:\WINDOWS\system\cmicnfg.cpl','');
QuarantineFile('C:\WINDOWS\system32\SysZSDFS.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10984[/url]
Карантин выслал
[QUOTE='DIAMOND;122660']Карантин выслал[/QUOTE]
C:\WINDOWS\system32\SysZSDFS.exe- Trojan-Proxy.Win32.Dlena.ad (kaspersky)
Выполните скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\SysZSDFS.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Сделайте новые логи пожалуйста, может ещё чего нахватали.
Опять готовил логи
и опять AVZ нашёл добро
подозрение на Trojan-Spy.Win32.BZub.ip
Trojan-Proxy.Win32.Dlena.ad
[B]Отключите восстановление системы![/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\FIRSTC~1.SCR','');
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\syszsdfs.exe - [B]Trojan-Proxy.Win32.Dlena.ad[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]