Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
Dr.Web не нашел ничего.
Выкладываю логи.
Printable View
Компьютер стал медленно работать, в том числе и интернет, нет доступа на сайты связанные с комп. безопастностью. В процессах появились новые апликации exe.
Dr.Web не нашел ничего.
Выкладываю логи.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\18.scr','');
QuarantineFile('F:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('F:\WINDOWS\system32\syre32.exe','');
QuarantineFile('F:\WINDOWS\system32\drivers\Instmsi.exe','');
QuarantineFile('F:\WINDOWS\jjdrive32.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe','');
QuarantineFile('F:\Program Files\n52te\n52teHid.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\Mikogo\B-Service.exe','');
QuarantineFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp','');
QuarantineFile('F:\WINDOWS\SnoopFreeDll.dll','');
QuarantineFile('f:\windows\system32\snoopfreesvc.exe','');
QuarantineFile('f:\windows\jjdrive32.exe','');
TerminateProcessByName('f:\windows\jjdrive32.exe');
QuarantineFile('f:\windows\system32\drivers\instmsi.exe','');
TerminateProcessByName('f:\windows\system32\drivers\instmsi.exe');
QuarantineFile('f:\program files\common files\adobearms.exe','');
QuarantineFile('f:\docume~1\admin\locals~1\temp\451.exe','');
TerminateProcessByName('f:\docume~1\admin\locals~1\temp\451.exe');
DeleteFile('f:\docume~1\admin\locals~1\temp\451.exe');
DeleteFile('f:\windows\system32\drivers\instmsi.exe');
DeleteFile('f:\windows\jjdrive32.exe');
DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\mc22.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe');
DeleteFile('F:\WINDOWS\jjdrive32.exe');
DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe');
DeleteFile('F:\WINDOWS\system32\syre32.exe');
DeleteFile('F:\WINDOWS\system32\umdmgr.exe');
DeleteFile('F:\WINDOWS\system32\18.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Карантин загрузил, выкладываю логи. Gmer скан два раза сорвался, экран становился синним, появлялись нечитабельные знаки кроме "stop" и где-то дальше "Windows logon process"
КидоКиллером надо провериться [url]http://support.kaspersky.ru/faq/?qid=208636215[/url]
КидоКиллер сработал, теперь есть доступ на сайты связанные с комп. безопастностью.
Что нужно еще проверить?
Надо логи повторить, полный комплект.
Выкладываю новые логи.
Следующая пачка:
Профиксить:
[CODE]O4 - HKLM\..\Run: [patches] 1[/CODE]
потом скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('f:\windows\cidrive32.exe','');
DeleteFile('f:\windows\cidrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-0249335051-3512211965-849074213-6867\syscr.exe');
DeleteFile('F:\WINDOWS\cidrive32.exe');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Логи потом повторите.
Сделал то что написали выше, сделал логи которые и выкладываю, но после снова не мог зайти не сайт. Запустил опять КидоКиллер, он снова что-то нашел, вроде уничтожил. Доступ на сайт снова есть.
Вот логи которые сделал после чего воспользовался КидоКиллером.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [patches] 1
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('f:\windows\system32\msvmcls64.exe');
TerminateProcessByName('f:\program files\common files\adobearms.exe');
DeleteFile('f:\program files\common files\adobearms.exe');
DeleteFile('f:\windows\system32\msvmcls64.exe');
DeleteFile('F:\WINDOWS\system32\22.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог [URL="http://virusinfo.info/showthread.php?t=53070"]mbam[/URL]
Выполнил все, выкладываю новые логи.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\d34b1731.exe,\\?\globalroot\systemroot\system32\g7jeqAN.exe,
[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\d34b1731.exe','');
QuarantineFile('F:\WINDOWS\system32\drivers\SnopFree.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe','');
QuarantineFile('F:\WINDOWS\system32\mshost.exe','');
DeleteFile('F:\WINDOWS\system32\76.scr');
DeleteFile('F:\WINDOWS\system32\mshost.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe');
DeleteFile('\\?\globalroot\systemroot\system32\g7jeqAN.exe');
DeleteFile('F:\WINDOWS\system32\drivers\Instmsi.exe');
DeleteFile('F:\WINDOWS\system32\d34b1731.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Просканируйте системные диски AVPTool. После сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Обновления безопасности стоят на системе?
+ к [B]Павлу[/B] и [B]DefesT[/B]
Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Имеется в виду автоматические обновление Windows XP или что-то другое?
[QUOTE='DMTR;599718']Имеется в виду автоматические обновление Windows XP или что-то другое?[/QUOTE]Имеется в виду, установлены ли у Вас все обновления для системы, вышедшие после SP3. Если автоматическое обновление включено, они должны приходить к Вам автоматически
Ответьте на вопрос + выполните скрипт из сообщения №13 + лог ComboFix сделайте
Выполнил все прописали выше, AVPTool нашел около 30 зараженных файлов. Я выбирал удаление или лечение в завимости от рекомендаций программы.
Загрузил карантин.
Выкладываю логи в том числе и ComboFix.
Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.
[QUOTE='DMTR;599800']Автоматическое обновление отключено, на компьютере стоит Windows XP SP3.[/QUOTE] Заплатки безопасности все рано надо ставить.
Лог комбофикс делали после AVPTool или нет?
Как установить заплатки безопасности?
Лог комбофикс делал после чего прошелся AVPTool.