что то блокирует инет.. есть подозрение что этоbackdoor.poison.685.... но нигде не могу найти тело вирусняка.... антивирусы ловт только последствия его.... помогите... логи прилагаются...
Printable View
что то блокирует инет.. есть подозрение что этоbackdoor.poison.685.... но нигде не могу найти тело вирусняка.... антивирусы ловт только последствия его.... помогите... логи прилагаются...
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msa.exe','');
QuarantineFile('C:\DOCUME~1\111\LOCALS~1\Temp\Omh.exe','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\DOCUME~1\111\LOCALS~1\Temp\pfnoaaob.sys','');
QuarantineFile('C:\WINDOWS\system32\gf.exe','');
QuarantineFile('C:\WINDOWS\gf.exe','');
QuarantineFile('c:\windows\system32\gf.exe','');
DeleteFile('c:\windows\system32\gf.exe');
DeleteFile('C:\WINDOWS\gf.exe');
DeleteFile('C:\WINDOWS\system32\gf.exe');
DeleteFile('C:\DOCUME~1\111\LOCALS~1\Temp\pfnoaaob.sys');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
DeleteFile('C:\DOCUME~1\111\LOCALS~1\Temp\Omh.exe');
DeleteFile('C:\WINDOWS\msa.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи + такой [url]http://www.gmer.net/[/url]
вот логи
Файл сохранён как 100204_174225_Quarantine_4b6adcd1b9e4a.zip
Размер файла 248202
MD5 8b30fd43652e81c76c9cd69cc0abe0a4
[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]
это карантин....
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
ну поможет кто нить??
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
сейчас вот создается в процессах процесс gf.exe и блокирует инет... ну.. в смысле загружает канал так,что страницы открываются по полгода...
[COLOR=Red][B]Отключить восстановление системы!!![/B][/COLOR]
Сохраните текст ниже как cleanup.bat в ту же папку, где находится lol.com (gmer)
[CODE]lol.com -del service osvul
lol.com -del file "C:\WINDOWS\system32\tasguq.dll"
lol.com -del reg "HKLM\SYSTEM\CurrentControlSet\Services\osvul"
lol.com -del reg "HKLM\SYSTEM\ControlSet003\Services\osvul"
lol.com -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится.
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('D4027C7F-154A-4066-A1AD-4243D8127440');
DelCLSID('35DC3473-A719-4d14-B7C1-FD326CA84A0C');
DelCLSID('66BA574B-1E11-49b8-909C-8CC9E0E8E015');
QuarantineFile('C:\WINDOWS\msa.exe','');
QuarantineFile('C:\DOCUME~1\111\LOCALS~1\Temp\Omh.exe','');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job);
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFilemask('C:\Program Files\Ask.com','*.*',true);
DeleteFile('C:\DOCUME~1\111\LOCALS~1\Temp\Omh.exe');
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\WINDOWS\msa.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделать лог Gmer!!
снова появился этот gf.exе...в %winroot% не знаю что за хрень.... логи прилагаются...
Файл сохранён как 100204_190202_Quarantine_4b6aef7adc427.zip
Размер файла 297572
MD5 426761b38a3ac94a0fff44efc7f77a07
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\gf.exe','');
TerminateProcessByName('c:\windows\gf.exe');
DeleteFile('c:\windows\gf.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\gf.exe - [B]Net-Worm.Win32.Kolab.fxq[/B] ( DrWEB: BackDoor.Poison.685, AVAST4: Win32:VB-OKI [Drp] )[*] c:\windows\system32\gf.exe - [B]Net-Worm.Win32.Kolab.fxq[/B] ( DrWEB: BackDoor.Poison.685, AVAST4: Win32:VB-OKI [Drp] )[/LIST][/LIST]