Вообщем Авира начала ругаться на system32.exe в папке Temp. Переодически возникают ругачки на трояны в разных местах с разными именами расширения .tmp. Еще флоппик странно переодически урчит. Прошу помощи мастеров! Спасибо!
Printable View
Вообщем Авира начала ругаться на system32.exe в папке Temp. Переодически возникают ругачки на трояны в разных местах с разными именами расширения .tmp. Еще флоппик странно переодически урчит. Прошу помощи мастеров! Спасибо!
Пофиксить в Hijack следующие строки:
[CODE]O20 - AppInit_DLLs: D:\WINDOWS\system32\vksaver.dll[/CODE]
Выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('‘|x.exe','');
QuarantineFile('D:\Program Files\Serious Sam 2\Bin\SeriousPlugin4LW.p','');
QuarantineFile('D:\WINDOWS\libmysql.dll.bak','');
QuarantineFile('D:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('D:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('D:\WINDOWS\system32\vksaver.dll','');
DeleteFile('D:\WINDOWS\system32\vksaver.dll');
DeleteFile('D:\WINDOWS\system32\H@tKeysH@@k.DLL');
DeleteFile('D:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('D:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('‘|x.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(9);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Все сделал. Флоппик заткнулся. Теперь ругачки на system32.exe ежепяти секундные.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\advpackm.exe','');
DeleteFile('D:\WINDOWS\system32\advpackm.exe');
QuarantineFile('D:\WINDOWS\system32\drivers\oreans32.sys','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Скачайте новую версию avz, cделайте новые логи.
[QUOTE]
Результат загрузки Файл сохранён как [B]091211_200312_virus_4b227b50be04f.zip[/B]
Размер файла [B]4213113[/B]
MD5 [B]a698ab0e19839cb882bf1907c39879aa[/B]
[/QUOTE]
Простите мою невнимательность. Первый раз я выслал немного не в соответствии с требованиями правил. Это информация второго.
Выполнил скрипт. Высылаю новые логи и карантин. Вроде все нормально стало. Единственное - тормоза остались, но быть может вовсе не вирусы тому виной=) Спасибо!
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\netprotocol.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог MBAM
Шлю логи и лью карантин.
[QUOTE][B][B]Восстановление системы: включено [/B][/B][/QUOTE]
Отключить! Перезагрузить ПК, выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('d:\windows\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
В MBAM удалить следующее:
[CODE]аражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(default) (Hijack.Webcheck) -> Bad: (D:\WINDOWS\system32\msvcrt57.dll) Good: (webcheck.dll) -> No action taken.
Заражено папок:
D:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\Downloaded\PS\Shfolder.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\VXK\Рабочий стол\папина\Drivers\v1.22\HFB122US\Winflash32\flash.sys (Rootkit.Rustock) -> No action taken.
C:\Documents and Settings\VXK\Рабочий стол\папина\v1.32\Winflash32\flash.sys (Rootkit.Rustock) -> No action taken.
C:\QIP Infium\Profiles\7-668-422\RcvdFiles\InfICQ_486913093\FolderView v1.4.exe (Trojan.FakeAlert) -> No action taken.
D:\System Volume Information\_restore{3FC72516-50B6-423D-946C-2868ECCAB508}\RP322\A0140894.exe (Malware.Packer) -> No action taken.
E:\RECYCLER\S-1-5-21-1292428093-448539723-1644491937-500\Dd13\portal-client\TCPIP.SYS patcher for WinXP\EvID4226Patch.exe (Malware.Tool) -> No action taken.
E:\RECYCLER\S-1-5-21-1292428093-448539723-1644491937-500\Dd22.105\Portable_HDD_Life_Pro_2.9.105\Portable_HDD_Life_Pro_2.9.105\Crack\ArmAccess.dll (Malware.NSPack) -> No action taken.
D:\Program Files\Hydra.dll (Spyware.OnlineGames) -> No action taken.
D:\WINDOWS\Temp\rdl66.tmp.exe (Trojan.Dropper) -> No action taken.
D:\WINDOWS\exploree.exe (Trojan.Downloader) -> No action taken.[/CODE]
Сделать лог MBAM
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\program files\microsoft common\svchost.exe - [B]Worm.Win32.Bezopi.vh[/B] ( DrWEB: Win32.HLLW.Autoruner.6326 )[*] d:\windows\system32\advpackm.exe - [B]Backdoor.Win32.Agent.ankw[/B] ( DrWEB: BackDoor.Siggen.4962, BitDefender: Backdoor.IRC.ZGQ, NOD32: Win32/PSW.Ceda trojan )[*] d:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.mz[/B] ( DrWEB: Trojan.PWS.Webmonier.186 )[*] d:\windows\system32\netprotocol.dll - [B]Trojan.Win32.Obfuscated.aivn[/B] ( BitDefender: Gen:Trojan.Heur.P.cq4@fC9ulTdi )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]