Здравствуйте, прошу помощи)
такая зараза.... даже в сейф моде запускается!!! и хрен чо сделаешь)
помогло наверное ADSSpy)
вот мои логи
после них я уже удалил sdra64.exe
и пофиксил блокировку regedit)
Printable View
Здравствуйте, прошу помощи)
такая зараза.... даже в сейф моде запускается!!! и хрен чо сделаешь)
помогло наверное ADSSpy)
вот мои логи
после них я уже удалил sdra64.exe
и пофиксил блокировку regedit)
еще я там прислал карантинчег с тремя потоками )
[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]
кх-кх меня заметили?
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nldk.yxo bxwjh
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\nldk.yxo','');
QuarantineFile('C:\WINDOWS\Inf\hidbth.PNF:CZQCEkGWDD','');
DeleteFile('C:\WINDOWS\Inf\hidbth.PNF:CZQCEkGWDD');
DeleteFile('C:\WINDOWS\system32\nldk.yxo');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(17);
BC_DeleteSvc('NMIndexingService');
BC_DeleteSvc('msupdate');
BC_Activate;
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=68001[/url]).
[b]Обновите базы AVZ[/b] и сделайте новые логи в нормальном режиме.
Спасибо, повторяю логи
Прислать карантин. Там еще пачка зверья.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Safari\rasadhlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Прислать лог.
отправляю лог и карантин
я в msconfig включил стандартную загрузку
у меня spybot search & destroy обнаружил еще всякую дрянь которая хотела записаться в автозапуск
еще журнальчик спайбота
Багла, похоже словили.
а хто это?
жду дальнейших рекомендаций?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 28 минут[/I][/B][/color][/size]
и как кстати пофиксить все exe-шники ?
firefox отказывается запускаться)
Если действительно это Багл, то лечится придется с LiveCD
Вот эту парочку пришлите по Правилам:
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \cambriai_ttf_czqcekgwdd.bin - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\program files\internet explorer\rasadhlp.dll - [B]Backdoor.Win32.Delf.sjm[/B][*] c:\windows\system32\nldk.yxo - [B]Trojan.Win32.Fregee.e[/B] ( DrWEB: Trojan.Siggen.48405, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\overlapp32.dll - [B]Trojan-Spy.Win32.Hascha.bb[/B] ( BitDefender: Trojan.Generic.2977721, AVAST4: Win32:Spyware-gen [Spy] )[*] \hidbth_pnf_czqcekgwdd.bin - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \wmfsdsk_inf_czqcekgwdd.bin - [B]Packed.Win32.Krap.w[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]