После исполнения какого то кряка вылезло куча файлов в
C:\Documents and Settings\Сергей.XXX\Local Settings\Temp\
a.exe b.exe, и т.д но успел перехватить их фаерволом. Теперь в автозагрузке
исходный файл кудато исчез
Printable View
После исполнения какого то кряка вылезло куча файлов в
C:\Documents and Settings\Сергей.XXX\Local Settings\Temp\
a.exe b.exe, и т.д но успел перехватить их фаерволом. Теперь в автозагрузке
исходный файл кудато исчез
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\i.exe','');
QuarantineFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\f.exe','');
DeleteFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\f.exe');
DeleteFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\i.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LEO0WTUNO7');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','J8RPLTROBQ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пролечитесь [url]http://support.kaspersky.ru/downloads/utils/tdsskiller.zip[/url]
Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
Сделайте новые логи.
карантин прислал. пролечился.вот логи.
забыл еще эти
Когда сканировали gmer'ом на кнопку [B]scan[/B] нажимали ?
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sshnas.dll','');
DeleteFile('c:\windows1\system32\sshnas.dll');
QuarantineFile('c:\windows\system32\drivers\gasfkyprtnrowy.sys','');
DeleteFile('c:\windows\system32\drivers\gasfkyprtnrowy.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
карантин пустой. AVZ пишет ошибка - прямое чтение
gmer автоскан - лог при входе
gmer scan system - сканирование c: только системных файлов
при выполнении скрипта nod ловит вирус:
26.12.2009 16:43:00 Защита в режиме реального времени файл C:\WINDOWS1\system32\Drivers\vdeymzcx.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован XXX\Сергей Событие произошло в новом файле, созданном следующим приложением: E:\Downloads\Opera\avz4\avz.exe.
Отключите все защитное ПО !
Лог gmer переделаете.
лог gmer
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
[CODE]
uduu59l6.exe -del service gasfkyqxdyjeov
uduu59l6.exe -del file "c:\windows1\system32\drivers\gasfkyprtnrowy.sys"
uduu59l6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkyqxdyjeov"
uduu59l6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gasfkyqxdyjeov"
uduu59l6.exe -reboot
[/CODE]
Сделайте новый лог gmer.
скан gmer
Добьем возможные остатки
Пофиксите в HiJack
[code]O20 - AppInit_DLLs: [/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\gasfkyxkqaewqx.dll','');
DeleteFile('c:\windows\system32\gasfkyxkqaewqx.dll');
QuarantineFile('c:\windows\system32\gasfkyqmltlexf.dll','');
DeleteFile('c:\windows\system32\gasfkyqmltlexf.dll');
QuarantineFile('c:\windows\system32\gasfkyisyjqjbs.dll','');
DeleteFile('c:\windows\system32\gasfkyisyjqjbs.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин (если не окажется пустым) согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится uduu59l6.exe (gmer)
[CODE]uduu59l6.exe -del file "c:\windows\system32\gasfkyxkqaewqx.dll"
uduu59l6.exe -del file "c:\windows\system32\gasfkywxffkvtk.dat"
uduu59l6.exe -del file "c:\windows\system32\gasfkyqmltlexf.dll"
uduu59l6.exe -del file "c:\windows\system32\gasfkyglvwjijo.dat"
uduu59l6.exe -del file "c:\windows\system32\gasfkyisyjqjbs.dll"
uduu59l6.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Новых логов не нужно
Установите SP3 (может потребоваться активация) + все новые заплатки
НЕ хочет он удаляться. Где то сидит и умело восстанавливается. В карантин не помещается. прикрепляю лог из реестра. Все записи удалял, через какое то время появляются снова. Щас буду пробовать удалять принудительно из под DOS.
А что он делает хоть этот gasfky?
все прочистил. Бльше не появляется. GMER без подозрений.
Спасибо за лечение!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\ba83~1.xxx\locals~1\temp\f.exe - [B]Packed.Win32.Krap.ag[/B] ( DrWEB: Trojan.Packed.706 )[*] c:\docume~1\ba83~1.xxx\locals~1\temp\i.exe - [B]Packed.Win32.Krap.ag[/B] ( BitDefender: Trojan.FakeAlert.BTA, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]