три цифры.exe; Bredolab.

Printable View

12.01.2010, 18:12
bo-buin

три цифры.exe; Bredolab.

Avast постоянно обнаруживает вирус

C:\Documents and Settings\relax\Local Settings\Temporary Internet Files\Content.IE5\LDSB0DJF\sonja[1].exe

определяет как: Win32:Bredolab-BL [Trj]

Нажимаю удалить... сразу находит другой:
C:\DOCUME~1\relax\LOCALS~1\Temp\858.exe так постоянно, только файл с тремя случайными цифрами.exe

Возможно не только sonja. но файлы вида "три цифры".exe постоянно

еще часто открывается браузер и переходит по адресу: [url]http://www.drasticnews.com/index.php/automotive[/url]

еще комп что-то притормаживает, но думаю это не в этот раздел :xmas:
12.01.2010, 18:51
Ingener

1) Отключите восстановление системы.
2) Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/CODE]
3) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Paint.exe','');
QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7796642439-3188140197-791340633-0091\nissan.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1037347319-4585832053-773043664-0523\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7796642439-3188140197-791340633-0091\nissan.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1037347319-4585832053-773043664-0523\nissan.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
4) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
5) Обновите базы AVZ.
6) Сделайте новые логи.
12.01.2010, 19:27
bo-buin

не вижу ссылки "[COLOR=Red]прислать запрошенный карантин[/COLOR]" вверху темы.

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

все нашел!
18.01.2010, 12:29
AndreyKa

Продолжайте:[QUOTE='Ingener;558745']5) Обновите базы AVZ.
6) Сделайте новые логи. [/QUOTE]
+
Выполните в AVZ скрипт [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
19.01.2010, 12:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7796642439-3188140197-791340633-0091\nissan.exe - [B]P2P-Worm.Win32.Palevo.njw[/B] ( BitDefender: Trojan.Generic.2911856, AVAST4: Win32:MalOb-AI [Cryp] )[/LIST][/LIST]