Так же как и многие, подцепил неизвестно где этот вирус - прерывает соединение и т.д. Все сделал по "правилам," вот логи:
Printable View
Так же как и многие, подцепил неизвестно где этот вирус - прерывает соединение и т.д. Все сделал по "правилам," вот логи:
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
O4 - Startup: is-QPG3B.lnk = ?[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\RJS1EA5.tmp','');
QuarantineFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc28A.tmp','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteService('GarenaPEngine');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc28A.tmp');
DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\RJS1EA5.tmp');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам + обязательно лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Сделано, немного навозился в прошлый раз с антивирусом - не отключил его полностью, да. В этот раз, насколько я понял, все в норме.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите AVZ.
Выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc22.tmp','');
QuarantineFile('c:\windows\system32\drivers\kungsfgwhxteae.sys','');
QuarantineFile('c:\windows\system32\kungsfmqrssrnt.dll','');
QuarantineFile('c:\windows\system32\kungsfmxtpppjh.dll','');
QuarantineFile('c:\windows\system32\drivers\SKYNETqxtrxtpd.sys','');
QuarantineFile('c:\windows\system32\SKYNETimxwixrn.dll','');
QuarantineFile('c:\windows\system32\drivers\vsfocenjmjxseo.sys','');
QuarantineFile('c:\windows\system32\vsfocegdiqjmjd.dll','');
QuarantineFile('c:\windows\system32\vsfoceramctpir.dll','');
DeleteFile('c:\windows\system32\drivers\vsfocenjmjxseo.sys');
DeleteFile('c:\windows\system32\vsfoceramctpir.dll');
DeleteFile('c:\windows\system32\vsfocegdiqjmjd.dll');
DeleteFile('c:\windows\system32\SKYNETimxwixrn.dll');
DeleteFile('c:\windows\system32\kungsfmxtpppjh.dll');
DeleteFile('c:\windows\system32\kungsfmqrssrnt.dll');
DeleteFile('c:\windows\system32\drivers\SKYNETqxtrxtpd.sys');
DeleteFile('c:\windows\system32\drivers\kungsfgwhxteae.sys');
DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc22.tmp');
BC_DeleteFile('C:\DOCUME~1\Jim\LOCALS~1\Temp\mc22.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
компьютер перезагрузится...
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы.
Сохраните ниже текст как cleanup.bat в ту же папку, где у Вас находится wv0byi9l.exe (gmer)
[CODE]wv0byi9l.exe -del service kungsfuwyrbfhq
wv0byi9l.exe -del service SKYNETinneexyy
wv0byi9l.exe -del service vsfocenockjmux
wv0byi9l.exe -del file "c:\windows\system32\drivers\kungsfgwhxteae.sys"
wv0byi9l.exe -del file "c:\windows\system32\kungsfbrlmjvxv.dat"
wv0byi9l.exe -del file "c:\windows\system32\kungsfmqrssrnt.dll"
wv0byi9l.exe -del file "c:\windows\system32\kungsfoeepakdn.dat"
wv0byi9l.exe -del file "c:\windows\system32\kungsfmxtpppjh.dll"
wv0byi9l.exe -del file "c:\windows\system32\drivers\SKYNETqxtrxtpd.sys"
wv0byi9l.exe -del file "c:\windows\system32\SKYNETimxwixrn.dll"
wv0byi9l.exe -del file "c:\windows\system32\drivers\vsfocenjmjxseo.sys"
wv0byi9l.exe -del file "c:\windows\system32\vsfoceyedvpxga.dat"
wv0byi9l.exe -del file "c:\windows\system32\vsfocegdiqjmjd.dll"
wv0byi9l.exe -del file "c:\windows\system32\vsfocexqdadjnl.dat"
wv0byi9l.exe -del file "c:\windows\system32\vsfoceramctpir.dll"
wv0byi9l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfuwyrbfhq"
wv0byi9l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETinneexyy"
wv0byi9l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocenockjmux"
wv0byi9l.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\kungsfuwyrbfhq"
wv0byi9l.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETinneexyy"
wv0byi9l.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vsfocenockjmux"
wv0byi9l.exe -reboot[/CODE]
Запустите cleanup.bat
Компьютер перезагрузится. Сделайте новый лог gmer
Сделано
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
[/CODE]
Что с проблемами?
Насколько я могу судить - всё в норме, соединение не прерывается, проверки ничего не выявляют. Спасибо : )
Но, к сожалению, есть еще проблема - та же самая зараза окопалась на ноутбуке и флешках, коих 4 штуки. Как решить это? Ноутбук - снова создать тему и повторить сделанное в этой, а вот флешки? Отформатировать их я могу, но как это лучше сделать, и, вообще, поможет ли это?
Создайте новую тему для ноутбука. Делайте полные проверки утилитами со вставленными флешками. И на время создания логов и выполнения скриптов не отключайте их.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Trojan.AutoIT.ADB )[/LIST][/LIST]