Боюсь что формат С: только поможет ...
Логи прикрепляю.
При проверке АВЗ появились папка Infected и Quarantin. Их выкладывать ?
Printable View
Боюсь что формат С: только поможет ...
Логи прикрепляю.
При проверке АВЗ появились папка Infected и Quarantin. Их выкладывать ?
Ох и коллекция
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('PlugPlayRasMan', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('diperto470e-3556', 4);
SetServiceStart('Tte88', 4);
SetServiceStart('taskmon.sys', 4);
SetServiceStart('Googles Onlines Search Services', 4);
StopService('diperto470e-3556');
StopService('taskmon.sys');
StopService('Schedule');
StopService('PlugPlayRasMan');
StopService('Googles Onlines Search Services');
QuarantineFile('C:\WINDOWS\drnpfdxrgq.dll','');
QuarantineFile('winmed.exe','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('kdrjh.exe','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\shell.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\system32\smsk387.exe/r','');
QuarantineFile('C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
QuarantineFile('C:\WINDOWS\bokpkov.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tte88.sys','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\diperto470e-3556.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\appmgra.exe','');
QuarantineFile('C:\WINDOWS\system32\wnslogan.exe','');
QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\msram.dll','');
QuarantineFile('C:\WINDOWS\altvxvm.dll','');
DeleteFile('C:\WINDOWS\altvxvm.dll');
DeleteFile('C:\WINDOWS\system32\msram.dll');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
DeleteFile('C:\WINDOWS\system32\wnslogan.exe');
DeleteFile('C:\WINDOWS\system32\appmgra.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\diperto470e-3556.sys');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tte88.sys');
DeleteFile('C:\WINDOWS\bokpkov.dll');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('crypts.dll');
DeleteFile('kdrjh.exe');
DeleteFile('sysfldr.dll');
DeleteFile('winmed.exe');
DeleteFile('C:\WINDOWS\drnpfdxrgq.dll');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\ieupdater[1].exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\ie_updates3r.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\wnslogan.exe');
DelBHO('{B3A00219-19D4-4966-AECD-8ED34AB9EF7A}');
DelBHO('{31BE1B95-DE72-41F3-A6AD-3E38648CA2D8}');
DeleteService('taskmon.sys');
DeleteService('PlugPlayRasMan');
DeleteService('Googles Onlines Search Services');
DeleteService('diperto470e-3556');
DeleteService('Schedule');
BC_ImportALL;
ExecuteRepair(8);
ExecuteRepair(16);
BC_DeleteSvc('Tte88');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19949[/url]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: bokpkov - {638C3079-960A-4DDC-B2BD-32D56E706476} - C:\WINDOWS\bokpkov.dll (file missing)
O21 - SSODL: altvxvm - {06F63D7C-A569-4414-A35F-B631A4C37CC6} - C:\WINDOWS\altvxvm.dll[/CODE]
Повторите логи
Файл сохранён как080317_022929_virus_47de1dd9bae6e.zipРазмер файла10843MD5de189dd0eec13b1d7ff21a645915b9c6
Логи прикрепляю.
Отключите востановление системы!!!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Вам это знакомо?
[code]85.255.112.75
85.255.112.75-xbox.dedi.inhoster.com
Хост доступен, в среднем 1695 мсек
85.255.112.0 - 85.255.127.255
UkrTeleGroup Ltd.
Ukraine
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
UkrTeleGroup
Источник: whois.ripe.net[/code]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Почти все прибили
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('oqtxde', 4);
StopService('oqtxde');
QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
QuarantineFile('C:\WINDOWS\system32\smsk387.exe','');
DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
DeleteFile('wowfx.dll');
DeleteFile('C:\System Volume Information\_restore{DEE9901B-BFA6-4A52-A9DE-C88BCB1D084F}\RP126\A0023528.exe');
DeleteFile('C:\System Volume Information\_restore{DEE9901B-BFA6-4A52-A9DE-C88BCB1D084F}\RP126\A0023529.exe');
DeleteFile('C:\System Volume Information\_restore{DEE9901B-BFA6-4A52-A9DE-C88BCB1D084F}\RP126\A0023530.exe');
DeleteService('oqtxde');
SysCleanAddFile('wowfx.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19949[/url]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Повторите логи с п.10 Правил
Файл сохранён как 080317_030424_virus_47de260861706.zipРазмер файла11977MD5707d6ae41ef74cf5f51b7c4492f09cbe
Восстановление системы было отключено сразу после проверки на вирусы.
Код:
85.255.112.7585.255.112.75-xbox.dedi.inhoster.comХост доступен, в среднем 1695 мсек85.255.112.0 - 85.255.127.255UkrTeleGroup Ltd.UkraineAndrew SotovMechnikova 58/5 65029 Odessaphone: +380631508855Andrew SotovMechnikova 58/5 65029 Odessaphone: +380631508855UkrTeleGroupИсточник: whois.ripe.net
Это не знакомо вообще :(
Скрипт выполене, логи выкладываю .
Ага значит сносим
Да [quote]O17 - изменения домена или DNS сервера.[/quote]
Возможно прийдется востановить свои настройки
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.72 85.255.112.75
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.72 85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.72 85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7659298-181A-480D-9F7A-55EB99D8ED0D}: NameServer = 85.255.114.72,85.255.112.75[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
В карантин не попало
Найдите при помощи AVZ[b] C:\WINDOWS\system32\smsk387.exe[/b] и пришлите по правилам.
Строчки пофиксил. Доменные записи остались, зловредов удалил.
Файл не найден. Дальнейшие действия ?
лог hijackthis
Смотрим какие проблемы еще остались
[quote=akoK;203041]лог hijackthis
Смотрим какие проблемы еще остались[/quote]
Выкладываю
[b]Luka_[/b], Вы фиксили что-то, кроме того, что Вам предложил [b]akoK[/b]?
[quote=wise-wistful;203120][B]Luka_[/B], Вы фиксили что-то, кроме того, что Вам предложил [B]akoK[/B]?[/quote]
Нет.
Как система?
Пользователь пока не жалуется, каспер не ругается. Если что выскочит сегодня завтра - напишу..