Подхватил вирус Brontok.A он пладит кучу своих файлов в процессах помогите пожалуйста.
[ATTACH]433566[/ATTACH]
[ATTACH]433567[/ATTACH]
[ATTACH]433568[/ATTACH]
Подхватил вирус Brontok.A он пладит кучу своих файлов в процессах помогите пожалуйста.
[ATTACH]433566[/ATTACH]
[ATTACH]433567[/ATTACH]
[ATTACH]433568[/ATTACH]
Уважаемый(ая) [B]depresnak[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\nauka\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\nauka\AppData\Roaming\Microsoft\Uhacaw.exe','');
QuarantineFile('C:\Users\nauka\AppData\Roaming\Microsoft\Ohacaq.exe','');
QuarantineFile('C:\Users\nauka\AppData\Roaming\Microsoft\Ihacak.exe','');
QuarantineFile('C:\Users\nauka\AppData\Roaming\Microsoft\Hhacaj.exe','');
QuarantineFile('C:\Users\nauka\AppData\Roaming\Microsoft\Ghacai.exe','');
QuarantineFile('C:\Users\nauka\AppData\Local\smss.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-73591\peacewme.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-71591\peacewme1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','');
QuarantineFile('c:\users\nauka\appdata\roaming\d3e1.exe','');
TerminateProcessByName('c:\users\nauka\appdata\roaming\d3e1.exe');
QuarantineFile('c:\users\nauka\appdata\roaming\be02.exe','');
TerminateProcessByName('c:\users\nauka\appdata\roaming\be02.exe');
DeleteFile('c:\users\nauka\appdata\roaming\be02.exe','32');
DeleteFile('c:\users\nauka\appdata\roaming\d3e1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','inetb123');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','x222n9');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-71591\peacewme1.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','peacewme1');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-73591\peacewme.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','peacewme');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','dqklonee');
DeleteFile('C:\Users\nauka\AppData\Local\smss.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
DeleteFile('C:\Users\nauka\AppData\Roaming\Microsoft\Ghacai.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Ghacai');
DeleteFile('C:\Users\nauka\AppData\Roaming\Microsoft\Hhacaj.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Hhacaj');
DeleteFile('C:\Users\nauka\AppData\Roaming\Microsoft\Ihacak.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Ihacak');
DeleteFile('C:\Users\nauka\AppData\Roaming\Microsoft\Ohacaq.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Ohacaq');
DeleteFile('C:\Users\nauka\AppData\Roaming\Microsoft\Uhacaw.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Uhacaw');
DeleteFile('C:\Users\nauka\AppData\Roaming\ScreenSaverPro.scr','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3514397107-872999954-2235939157-1001\Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=144655[/url]
4. Обновите базы AVZ и сделайте повторные логи.
Высылаю логи
В логах плохого не увидела. Проблема решена?
Да, большое спасибо.:)
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-121921\\inetb123.exe - [B]Trojan-PSW.Win32.Tepfer.pkhp[/B] ( BitDefender: Trojan.GenericKDV.1182098, AVAST4: Win32:Kryptik-MRN [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-22892\\s222h10.exe - [B]Backdoor.Win32.Azbreg.vvu[/B] ( DrWEB: Trojan.Winlock.8811, BitDefender: Trojan.GenericKDV.1159134, AVAST4: Win32:Crypt-PTQ [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-71591\\peacewme1.exe - [B]Worm.Win32.Hamweq.phi[/B] ( BitDefender: Trojan.Agent.BAET, AVAST4: Win32:Crypt-PWH [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-73591\\peacewme.exe - [B]Backdoor.Win32.Azbreg.wgj[/B] ( BitDefender: Trojan.Agent.BAET, AVAST4: Win32:Crypt-PWH [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-92171\\dqklonee.exe - [B]Trojan-PSW.Win32.Tepfer.qhql[/B] ( BitDefender: Trojan.GenericKD.1214808, AVAST4: Win32:Dropper-NCF [Drp] )[*] c:\\users\\nauka\\appdata\\roaming\\microsoft\\ghacai.exe - [B]Worm.Win32.Ngrbot.pkk[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.GenericKD.1188674, AVAST4: Win32:Downloader-UEH [Trj] )[*] c:\\users\\nauka\\appdata\\roaming\\microsoft\\ohacaq.exe - [B]Trojan-PSW.Win32.Tepfer.qhql[/B] ( BitDefender: Trojan.GenericKDV.1215320, AVAST4: Win32:Dropper-NCF [Drp] )[*] c:\\users\\nauka\\appdata\\roaming\\screensaverpro.scr - [B]Trojan.Win32.Inject.gcxt[/B] ( BitDefender: Trojan.GenericKD.1216805, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]