после выходных, сразу на нескольких компьютерах появились сетевые черви, и прочая живность.
Printable View
после выходных, сразу на нескольких компьютерах появились сетевые черви, и прочая живность.
Уважаемый(ая) [B]sslog[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteService('ldorowcqrrjwub');
QuarantineFile('c:\docume~1\4aca~1\locals~1\temp\ctfmon.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\documents and settings\Нурбол\application data\15.tmp','');
QuarantineFile('c:\documents and settings\Нурбол\application data\14.tmp','');
DeleteFile('c:\documents and settings\Нурбол\application data\14.tmp');
DeleteFile('c:\documents and settings\Нурбол\application data\15.tmp');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('c:\docume~1\4aca~1\locals~1\temp\ctfmon.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
карантин выслал прикрепляю новые логи.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Нурбол\Application Data\Dplmlp.exe','');
DeleteFile('C:\Documents and Settings\Нурбол\Application Data\Dplmlp.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dplmlp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте логи
[url]http://virusinfo.info/showthread.php?t=53070[/url]
[url]http://virusinfo.info/showthread.php?t=40118[/url]
Логи выполнил в Gmer и MBAM
1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]gmer.exe -del service yzmba
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yzmba"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yzmba"
gmer.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]gmer.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]
[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!
Сделайте новый лог gmer
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\O2JVKPO1\twejgp[1].png (Worm.Conficker) -> No action taken.
C:\kdfe.cmd (Trojan.Agent) -> No action taken.[/code]
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\нурбол\\application data\\14.tmp - [B]Trojan.Win32.Jorik.Tedroo.bk[/B] ( DrWEB: Trojan.Spambot.11269, BitDefender: Trojan.Generic.KDV.380232, NOD32: Win32/SpamTool.Tedroo.AT trojan, AVAST4: Win32:Jorik-FH [Trj] )[*] c:\\documents and settings\\нурбол\\application data\\15.tmp - [B]Trojan.Win32.Menti.ijjc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6995775 )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Trojan.Win32.Pincav.bnyh[/B] ( DrWEB: BackDoor.IRC.Sdbot.16835, BitDefender: Backdoor.IRCBot.ADEC, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan.Win32.Menti.ijjc[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.6995775 )[*] c:\\windows\\aadrive32.exe - [B]Trojan-Dropper.Win32.Agent.fzfv[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.7476679 )[/LIST][/LIST]