Товарищи лечащие, советующие и спасающие обратите пожалуйста на меня свои взоры. С ночи висит безответный запрос, чем я Вам не глянулся.
Повторно прикладываю логи сюда.
[url]http://virusinfo.info/showthread.php?t=67017[/url]
Printable View
Товарищи лечащие, советующие и спасающие обратите пожалуйста на меня свои взоры. С ночи висит безответный запрос, чем я Вам не глянулся.
Повторно прикладываю логи сюда.
[url]http://virusinfo.info/showthread.php?t=67017[/url]
Простой вопрос: У Вас а/вирус обновляется? Просто в логах столько старых малваре, что просто жуть :(
Профиксить:
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hedl.qlo printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\navw32.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\ccda_v8.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\navw32.exe','');
QuarantineFile('C:\Symantec Norton Utilities Pack 2006\setup\Support\windoc.exe','');
BC_DeleteSvc('Winxd04');
BC_DeleteSvc('Winbg84');
BC_DeleteSvc('Winch27');
BC_DeleteSvc('Winjo61');
BC_DeleteSvc('Winkp15');
BC_DeleteSvc('Winrw37');
BC_DeleteSvc('Winaf38');
BC_DeleteSvc('Wch62');
BC_DeleteSvc('Vbg38');
BC_DeleteSvc('Uae50');
BC_DeleteSvc('Rwc05');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
BC_DeleteSvc('Pua84');
BC_DeleteSvc('protect');
BC_DeleteSvc('Jot51');
QuarantineFile('C:\WINDOWS\System32\Drivers\Chl50.sys','');
BC_DeleteSvc('Chl50');
DeleteService('srserviceWebClient');
QuarantineFile('srserviceWebClient.sys','');
BC_DeleteSvc('FCI');
QuarantineFile('FCI.sys','');
DeleteFile('FCI.sys');
DeleteFile('srserviceWebClient.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Chl50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jot51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pua84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uae50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vbg38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd04.sys');
DeleteFile('C:\WINDOWS\system32\navw32.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5O7\n-bss[2].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
прислать новые логи.
Загрузить карантин по Правилам.
Спасибо за ответ, антивирус обновляется.
Стоит DrWeb v.4.44.
Все то, что в system32 жило, ему не мешало:).
Логи прикрепил, карантин после последнего сканирования чист.
Вчера при сканировании AVZ DrWeb и уж тут он постарался
2-01-2010 15:54:45 [CL] (PID = 1500) C:\Program Files\avz4\Infected\2010-01-12\avz00001.dta - infected with Trojan.Mylbot.6
12-01-2010 15:54:58 [CL] (PID = 1500) C:\Program Files\avz4\Infected\2010-01-12\avz00001.dta - blocked
12-01-2010 16:37:24 [CL] (PID = 2296) C:\Program Files\avz4\Infected\2010-01-12\avz00002.dta - инфицирован Trojan.PWS.Banker.36485
12-01-2010 16:37:29 [CL] (PID = 2296) C:\Program Files\avz4\Infected\2010-01-12\avz00002.dta - доступ к файлу запрещен
12-01-2010 16:37:30 [CL] (PID = 2296) C:\Program Files\avz4\Quarantine\2010-01-12\avz00001.dta - инфицирован Trojan.Inject.6510
12-01-2010 16:37:31 [CL] (PID = 2296) C:\Program Files\avz4\Quarantine\2010-01-12\avz00001.dta - доступ к файлу запрещен
О своих настройках DrWeb в логе пишет:
3-01-2010 10:10:14 Started on \\ALEXANDR
13-01-2010 10:10:14
13-01-2010 10:10:14 Рабочий каталог: C:\Program Files\DrWeb
13-01-2010 10:10:14 Режим загрузки: Автоматический, на старте системы
13-01-2010 10:10:14 Режим проверки "на лету": Оптимальный
13-01-2010 10:10:14 Расширенная защита: Включена
13-01-2010 10:10:14 Эвристика: Включена
13-01-2010 10:10:14 Объекты фильтруются: Нет фильтра, проверяются все файлы
13-01-2010 10:10:14 Путь для карантина: C:\Program Files\DrWeb\infected.!!!
13-01-2010 10:10:14 Проверка работающих программ и модулей: Включена
13-01-2010 10:10:14 Проверка файлов в архивах: Выключена
13-01-2010 10:10:14 Проверка почтовых файлов: Выключена
13-01-2010 10:10:14 Проверка объектов в локальной сети: Выключена
13-01-2010 10:10:14 Проверка объектов на съемных носителях: Включена
13-01-2010 10:10:14 Защищать файл конфигурации Dr.Web: Выключена
Может что поправить?
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
В остальном чисто.
Рекомендуется установить SP3 и последующие обновления.
Trojan.PWS.Banker.36485 - пароли на сторону ушли. Надо менять.
отключать надо на время работы с AVZ а/вирус. А то он весь карантин испортил.
Еще раз спасибо.
[QUOTE='PavelA;559411']пароли на сторону ушли. Надо менять[/QUOTE]
В нете пишут, что он крадет банковские пароли. Если платежными системами с машины не пользовались, то ущерба нет? Или что-то еще уволакивает?
Поговорку про бережёного знаете, наверное...