Добрый день!
Появился вирус на компе.
Симптомы: Изменена загрузка IE, права пользователя, рассылка писем на левые адреса, создание файлов на дисках и сменных носителях, удаленные файлы вируса восстанавливаються при перезагрузке.
вот логи:
Printable View
Добрый день!
Появился вирус на компе.
Симптомы: Изменена загрузка IE, права пользователя, рассылка писем на левые адреса, создание файлов на дисках и сменных носителях, удаленные файлы вируса восстанавливаються при перезагрузке.
вот логи:
Логи AVZ/AVPTool неправильные.
[url=http://virusinfo.info/pravila.html]Внимательно прочитать, аккуратно выполнить[/url]
я бы с радостью в безопасном режиме сделал, только он не работает...((((
Логи надо по возможности делать в обычном режиме. Читайте внимательнее.
Изв[COLOR="Red"][B]и[/B][/COLOR]няюсь за такой долгий ответ, был заблокирован доступ к вашему форуму...
Вот логи
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=50728[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Дополнительно сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
вот логи
Такое ещё лог сделайте: [url]http://virusinfo.info/showthread.php?t=40118[/url]
лог
Что-то лог гмера какой-то неполный...
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\vsfocekssyiwri.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\vsfocekssyiwri.sys');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('aurngk');
BC_QrSvc('emsqx');
BC_QrSvc('SKYNETsibmqiee');
BC_QrSvc('tblpqsdee');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите п.2 Диагностики и лог gmer.
Gmer еще показал в системруте(
Скопируйте код в новый файл
[CODE]gmer.exe -del service aurngk
gmer.exe -del service emsqx
gmer.exe -del service SKYNETsibmqiee
gmer.exe -del service tblpqsdee
gmer.exe -del service vsfocebftappyv
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aurngk"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\emsqx"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETsibmqiee"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tblpqsdee"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocebftappyv"
gmer.exe -del file "C:\Windows\system32\drivers\SKYNETwsrpdibp.sys"
gmer.exe -del file "C:\Windows\system32\drivers\vsfocekssyiwri.sys"
gmer.exe -del file "C:\WINDOWS\system32\ntshijy.dll"
gmer.exe -del file "C:\WINDOWS\system32\vsfocewsp.dll"
gmer.exe -reboot[/CODE]
сохраните его в той же папке, где находится [B]gmer.exe [/B]под именем [B]123.bat[/B] и запустите. После перезагрузки повторите логи по правилам + GMER.
...
В логах все хорошо.
Вот эти строчки можно пофиксить в HijackThis:
[CODE]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: is-ACU1R.lnk = ?[/CODE]
Какие-то проблемы остались?
вроде не видно пока.....
Еще раз огромное спс
:094::094::094::beer:
удачи
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\vsfocekssyiwri.sys - [B]Trojan.Win32.Tdss.alax[/B] ( BitDefender: Trojan.CryptRedol.Gen.3 )[/LIST][/LIST]