Создание мусора в папках Docem&Settings
Printable View
Создание мусора в папках Docem&Settings
Уважаемый(ая) [B]Craz[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\spool\sppsvc.exe','');
QuarantineFile('C:\Documents and Settings\Puzik:mate:$DATA','');
QuarantineFile('C:\Documents and Settings\All Users:mate:$DATA','');
DeleteFile('C:\Documents and Settings\All Users:mate:$DATA');
DeleteFile('C:\Documents and Settings\Puzik:mate:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
выслал логи
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\ime\alg.exe');
DeleteFile('c:\windows\system32\ime\alg.exe');
DeleteFile('C:\Documents and Settings\All Users:mate:$DATA');
DeleteFile('C:\Documents and Settings\Puzik:mate:$DATA');
DeleteFile('C:\WINDOWS\System32\spool\sppsvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в окошке с датой под главным меню установите галочку и дату 28.04.2013. Далее - "Файл" -> "Добавить в список все исполняемые файлы в каталогах не старше указанной даты...", после того, как список будет создан - Файл" -> "Сохранить полный образ автозапуска". Прикрепите файл с образом к своему следующему сообщению (если нет места для вложений - на rghost.ru и ссылку).
[url]http://rghost.ru/45849389[/url] - лог с uVS
Можно ли удалить старые файлы,чтобы можно было загружать на сайт?
Да, конечно,
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url][code];uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
adddir %Sys32%
adddir D:\BAD_M
adddir C:\Documents and Settings
; C:\WINDOWS\SYSTEM32\WINS\ALG.EXE
addsgn 1A9E749A55837A8FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 24 Trojan.Win32.Agentb.fpr [Kaspersky]
zoo %Sys32%\WINS\ALG.EXE
zoo %Sys32%\HKCMD.EXE
zoo D:\BAD_M\MEREGAM\UNINSTALL\UNINSTALL.EXE
zoo D:\BAD_M\MEREGAM\SE\PM.EXE
zoo %Sys32%\1028\SPPSVC.EXE
zoo %Sys32%\1033\AUDIODG.EXE
zoo %Sys32%\1041\CONHOST.EXE
zoo %Sys32%\1049\ALG.EXE
zoo %Sys32%\1049\WMDC.EXE
zoo %Sys32%\3COM_DMI\AUDIODG.EXE
zoo %Sys32%\DIRECTX\SPPSVC.EXE
zoo %Sys32%\DRIVERS\DSIWMIS.EXE
zoo %Sys32%\RU\AUDIODG.EXE
zoo %Sys32%\RU\CONHOST.EXE
zoo %Sys32%\RU-RU\EXPLORER.EXE
zoo %Sys32%\SPOOL\SPPSVC.BAK
zoo %Sys32%\CONHOST.EXE
zoo %Sys32%\USMT\ALG.EXE
zoo %Sys32%\WBEM\WMDC.EXE
chklst
delvir
deltmp
restart[/code]Компьютер перезагрузится.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url].
Прошу оставить до понедельника,спасибо.
лог
Запакуйте в архив с паролем [B]virus[/B] папку C:\Qoobox\Quarantine\
Полученный архив загрузите по ссылке[B][COLOR="#FF0000"] Прислать запрошенный карантин[/COLOR][/B] вверху темы.
[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url].
Что с проблемой?
Выслал,удалил на данный момент проблема не наблюдается.Создание мусора не заметил.
Тогда проверьте уязвимости, как в предыдущей теме, и всё на этом. Кстати, Eset этого зловреда тоже стал определять.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users:mate:$data - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\puzik:mate:$data - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\spool\\sppsvc.exe - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]