Подключил на работе сотрудник свою мобилку к ПК и завелась такая гадость.
Printable View
Подключил на работе сотрудник свою мобилку к ПК и завелась такая гадость.
Выполните проверку Куреитом (правила пункт 2)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\Windows Vista setup .scr','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.bak','');
QuarantineFile('E:\Program Files\USB Disk Security .scr','');
QuarantineFile('E:\Program Files\USB Disk Security\quarantine .scr','');
QuarantineFile('E:\Мои документы .scr','');
QuarantineFile('E:\Архивы .scr','');
QuarantineFile('E:\Distributives .scr','');
QuarantineFile('E:\Program Files .scr','');
QuarantineFile('C:\Program Files\WinRAR\WinRAR.exe.bak','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\Titip Folder Jangan DiHapus .exe','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\THe Best Ungu .scr','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\Norman virus Control 5.18 .exe','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\New mp3 BaraT !! .exe','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\Lagu - Server .scr','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\Gallery .scr','');
QuarantineFile('C:\Program Files\Movie Maker\Shared\Data DosenKu .exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\THe Best Ungu .scr','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Lagu - Server .scr','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Norman virus Control 5.18 .exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Data DosenKu .exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Blink 182 .exe','');
QuarantineFile('C:\WINDOWS\system32\X61345go\Z227487cie.cmd','');
QuarantineFile('C:\WINDOWS\system32\227487645073l.exe','');
QuarantineFile('C:\WINDOWS\sa-865388.exe','');
QuarantineFile('C:\WINDOWS\M14616\Ja67831bLay.com','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe','');
DeleteService('SharedAccess');
QuarantineFile('C:\WINDOWS\system32\drivers\rhkhqj.sys','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
QuarantineFile('C:\WINDOWS\M14616\smss.exe','');
QuarantineFile('C:\WINDOWS\M14616\EmangEloh.exe','');
QuarantineFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\service.exe','');
QuarantineFile('c:\documents and settings\olga\Шаблоны\o74857z\winlogon.exe','');
TerminateProcessByName('c:\documents and settings\olga\Шаблоны\o74857z\winlogon.exe');
QuarantineFile('c:\windows\m14616\smss.exe','');
TerminateProcessByName('c:\windows\m14616\smss.exe');
QuarantineFile('c:\documents and settings\olga\Шаблоны\o74857z\service.exe','');
TerminateProcessByName('c:\documents and settings\olga\Шаблоны\o74857z\service.exe');
QuarantineFile('c:\windows\m14616\emangeloh.exe','');
TerminateProcessByName('c:\windows\m14616\emangeloh.exe');
DeleteFile('c:\windows\m14616\emangeloh.exe');
DeleteFile('c:\documents and settings\olga\Шаблоны\o74857z\service.exe');
DeleteFile('c:\windows\m14616\smss.exe');
DeleteFile('c:\documents and settings\olga\Шаблоны\o74857z\winlogon.exe');
DeleteFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\service.exe');
DeleteFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\winlogon.exe');
DeleteFile('C:\WINDOWS\M14616\EmangEloh.exe');
DeleteFile('C:\WINDOWS\M14616\smss.exe');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\rhkhqj.sys');
DeleteFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe');
DeleteFile('C:\WINDOWS\M14616\Ja67831bLay.com');
DeleteFile('C:\WINDOWS\sa-865388.exe');
DeleteFile('C:\WINDOWS\system32\227487645073l.exe');
DeleteFile('C:\WINDOWS\system32\X61345go\Z227487cie.cmd');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Blink 182 .exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Data DosenKu .exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Norman virus Control 5.18 .exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Lagu - Server .scr');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\THe Best Ungu .scr');
DeleteFile('C:\Program Files\Movie Maker\Shared\Data DosenKu .exe');
DeleteFile('C:\Program Files\Movie Maker\Shared\Gallery .scr');
DeleteFile('C:\Program Files\Movie Maker\Shared\Lagu - Server .scr');
DeleteFile('C:\Program Files\Movie Maker\Shared\New mp3 BaraT !! .exe');
DeleteFile('C:\Program Files\Movie Maker\Shared\Norman virus Control 5.18 .exe');
DeleteFile('C:\Program Files\Movie Maker\Shared\THe Best Ungu .scr');
DeleteFile('C:\Program Files\Movie Maker\Shared\Titip Folder Jangan DiHapus .exe');
DeleteFile('C:\Program Files\WinRAR\WinRAR.exe.bak');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.bak');
DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\Windows Vista setup .scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Новые логи
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
QuarantineFile('C:\Documents and Settings\Olga\Шаблоны\O74857Z\TuxO74857Z.exe','');
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
Если это не Ваше - тоже [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: Shell=explorer.exe, "C:\Documents and Settings\Olga\Шаблоны\O74857Z\TuxO74857Z.exe"
[/CODE]
Поудаляйте всю ерунду из приложенного списка.
Спасибо Rene-gad, вечером займусь. Компьютер на работе, а я сегодня в отпуск вышел. Сделаю вечером, логи вышлю.
[QUOTE=byte;270055] я сегодня в отпуск вышел. [/QUOTE]Тогда приятного отпуска :)
Повторные логи до удаления прикрепленного списка. Не дает загрузить syscheck.zip?
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
Какие еще проблемы остались?
С загрузкой логов у нас сейчас проблемы, извините.
Долг:)
PS Проблем никаких, не считая, что папки диска Е (те флешки) он попортил добавив к ним .scr их пришлось удалить :(
Rene-gad спасибо за помощь. Удачи.
И последняя просьба: Посоветуйте антивирус. Сейчас стоит для профилактики только AVZ4
Посмотрите в конце лога список Подозрительных обьектов: Он довольно длинный. Решайте зами, что оттуда Вам нужно, а что - не очень 8)
[QUOTE=byte;270352]
Посоветуйте антивирус. Сейчас стоит для профилактики только AVZ4[/QUOTE]АВЗ не антивирус :) [url]www.av-comparatives.org[/url] - читайте, качайте, пробуйте.
Поищите в форуме - есть много обсуждений различных АВ - программ.
Сервис Пак 3 поставить не забудьте.
OK, спасибо за совет!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]113[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]