Printable View
При подключении к инету НОД пишет:
AMON файл C:\WINDOWS\system32\X6DEKU018B\G001.exe вероятно неизвестный NewHeur_PE вирус.
AMON файл C:\WINDOWS\system32\ZBXQWJ6NBJ\C023.exe вероятно модифицированный Win32/VB.NXN троянская программа
AMON файл C:\WINDOWS\system32\14QR2GEDOV\A023.exe модифицированный Win32/Statik потенциально нежелательная программа
Помогите пожалуйста :(
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('National Web CC');
QuarantineFile('C:\WINDOWS\system32\S9D5EDMWZ2\I.exe','');
DeleteService('AppITSrv');
QuarantineFile('C:\WINDOWS\System32\AppIT\smss.exe','');
QuarantineFile('c:\windows\system32\pderunsrv.dll','');
QuarantineFile('C:\WINDOWS\System32\pdelogsrv.dll','');
QuarantineFile('c:\docume~1\alluse~1\drm\uucst.dll','');
QuarantineFile('c:\docume~1\alluse~1\drm\awise.dll','');
DeleteFile('c:\docume~1\alluse~1\drm\awise.dll');
DeleteFile('c:\docume~1\alluse~1\drm\uucst.dll');
DeleteFile('C:\WINDOWS\System32\pdelogsrv.dll');
DeleteFile('c:\windows\system32\pderunsrv.dll');
DeleteFile('C:\WINDOWS\System32\AppIT\smss.exe');
DeleteFile('C:\WINDOWS\system32\S9D5EDMWZ2\I.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=61221[/url]
3. Повторите логи.
Спасибо огромное !!! Помогло.
файл quarantine.zip отослал
Вот новые логи
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('dvd4');
QuarantineFile('C:\WINDOWS\Atidvd4.exe','');
QuarantineFile('c:\docume~1\alluse~1\drm\radpv.dll','');
DeleteFile('c:\docume~1\alluse~1\drm\radpv.dll');
DeleteFile('C:\WINDOWS\Atidvd4.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=61221[/url]
3. Повторите логи.
файл quarantine.zip отослал
Вот новые логи
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelpkkxxgh.exe','');
DeleteService('WinHelp32');
SetServiceStart('WinHelpkxxgh', 4);
DeleteService('WinHelpkxxgh');
DeleteFile('C:\WINDOWS\system32\WinHelpkkxxgh.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
файл virus.zip отослал
Вот новые логи
Еще постоянно ломится reqedit32.exe через svchost.exe на 222.186.33.50 порт 8008
это нормально?
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
DeleteService('BackGround Switch');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин (если не окажется пустым) согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + сообщите, решена ли проблема
Извините, вызвали на работу
Скрипт выполнил
Карантин выслал
Нод не ругается, сквозь фаервол никто не ломится, я думаю проблема решена.
Большое спасибо!
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Все отлично , все работает
Всем большое спасибо за лечение!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\alluse~1\drm\radpv.dll - [B]Trojan-PSW.Win32.Bjlog.dqw[/B] ( DrWEB: Adware.Baidu.1447, AVAST4: Win32:Trojan-gen )[*] c:\windows\atidvd4.exe - [B]Trojan-Downloader.Win32.Ogran.dh[/B] ( DrWEB: BackDoor.ClDdos.9, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\appit\smss.exe - [B]Backdoor.Win32.SdBot.pqv[/B] ( DrWEB: BackDoor.IRC.Sdbot.6615, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\pdelogsrv.dll - [B]Backdoor.Win32.Rbot.ahgh[/B][*] c:\windows\system32\pderunsrv.dll - [B]Trojan-Downloader.Win32.FraudLoad.wwhv[/B] ( DrWEB: Trojan.DownLoad1.10707, BitDefender: DeepScan:Generic.Peed.7927FC4B, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\regedit32.exe - [B]Backdoor.Win32.Agent.amjo[/B] ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.2629176, NOD32: Win32/AutoRun.Agent.TS worm, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\winhelpkkxxgh.exe - [B]Trojan.Win32.Scar.assv[/B] ( DrWEB: BackDoor.Darkshell.77, AVAST4: Win32:Agent-AERY [Trj] )[*] c:\windows\system32\winhelp32.exe - [B]Trojan.Win32.Scar.aknh[/B] ( DrWEB: BackDoor.Darkshell.77, BitDefender: Backdoor.Generic.228870, AVAST4: Win32:Patched-JZ [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]