Вирус d.exe помогите.

Printable View

09.10.2009, 12:59
postrel

Вирус d.exe помогите.

Добрый день, подхватил заразу d.exe (сидит в процесах и автозагрузке) думаю что еще что то есть, пытаются связаться с (new-saarch-zone.com/borders.php 64.120.164.39:80) NOD вроде блокирует атаки. Помогите избавиться от зверя.
09.10.2009, 13:11
Гриша

Выполните скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\d.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\d.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\d.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам, очистите планировщик заданий и повторите логи...
09.10.2009, 13:33
postrel

Скрипт выполнил, вот карантин.

Файл сохранён как 091009_133304_virus_4acf0350e3617.zip
Размер файла 329994
MD5 4e90a66f9003ce6eeb2507e41d8d0646
09.10.2009, 13:48
Bratez

+
[QUOTE='Гриша;482934']...и повторите логи... [/QUOTE]
09.10.2009, 13:52
postrel

подскажите пожалуйста как очистить планировщик заданий, в гугле искал ненашел:(
09.10.2009, 13:55
Bratez

Панель управления -> Назначенные задания.
09.10.2009, 14:10
postrel

Вот Логи:)
09.10.2009, 14:17
Bratez

Выполните скрипт:
[CODE]begin
DeleteFile('C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\d.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки повторите п.2 Диагностики.
Проблема решена?
09.10.2009, 14:29
postrel

в Автозагрузке остался (d.exe) но он отключен мною еще вчера, что с ним сделать?
09.10.2009, 14:37
Bratez

Отключенные элементы автозапуска в логах не видны.
Включите и сделайте лог п.2 Диагностики (файл удален, так что страху нет).
09.10.2009, 15:08
postrel

Вот лог, после запуска (d.exe) в автозагрузке в процесах его нету.

СПАСИБО!!! убили гада :)
09.10.2009, 15:10
Bratez

Последний скрипт:
[CODE]begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PopRock');
end.[/CODE]
После этого будет стерильно.
10.10.2009, 15:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\admin\locals~1\temp\d.exe - [B]Trojan.Win32.FraudPack.vpq[/B][/LIST][/LIST]