Зараза в сети... Дункан маклауд просто...2

машинка 2 с которой хуже
сисчек создает на сис куре завис наглухо...
[ATTACH]228130[/ATTACH]
на всяк случай протокол исследования системы с него-же
[ATTACH]228131[/ATTACH]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(13);
ExecuteRepair(9);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Администратор\pwonbh.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aomsazdn.sys','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\tmp2173 .exe','');
QuarantineFile('c:\windows\system32\wmicvrts.exe','');
DeleteFile('c:\windows\system32\wmicvrts.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\tmp2173 .exe');
DeleteFile('C:\Documents and Settings\Администратор\pwonbh.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

новый сисчек
[ATTACH]228133[/ATTACH]
карантин отправлен

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\aomsazdn.sys','');
SetServiceStart('aomsazdn', 4);
QuarantineFile('C:\Documents and Settings\Администратор\cgsxcqaf.exe','');
DeleteFile('C:\Documents and Settings\Администратор\cgsxcqaf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CFmon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новые логи AVZ и приложите к этой теме.

[ATTACH]228148[/ATTACH]
новый симптом - при упаковке карантина когда вводил пароль насыпало полную строчку testtesttest
[ATTACH]228144[/ATTACH]

[QUOTE='alex_palace;614663'] насыпало полную строчку testtesttest[/QUOTE]Шутки AVZ по поиску кейлоггеров

Зачем Вы сами карантин упаковываете? Приложение 3 правил явно не читали

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\zbitcadj.sys','');
StopService('aomsazdn');
SetServiceStart('aomsazdn', 4);
DeleteService('aomsazdn');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\aomsazdn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zbitcadj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Трам тарарам - хайджек на юзерините затікается и дохнет не успев записать лог. Насчет карантина густо краснею...
при сборе логов авирой вілезло окно

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\tmp8291.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\tmp8291.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\tmp2173 .exe','');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atyvutqw.sys','');
QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
QuarantineFile('c:\windows\system32\wmicvrts.exe','');
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
DeleteFile('c:\windows\system32\wmicvrts.exe');
DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\atyvutqw.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(12);
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

Выполните в AVZ скрипт [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

[QUOTE=AndreyKa;614781]Выполните в AVZ скрипт [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.[/QUOTE]
Ребята спасибо пока.... Но до вторника машинка недоступна... Во вторник продолжу. Пасха таки и кабинет закрыт под сигналку.

C наступающим.

карантин отправляю. Лог Хайджека то-же. На стандартных скриптах машина завистает наглухо
[ATTACH]228921[/ATTACH]
[ATTACH]228922[/ATTACH]

[QUOTE='alex_palace;616575']На стандартных скриптах машина завистает наглухо[/QUOTE]Начинайте всё сначала. Проверяйте компьютер антивирусом со свежими базами.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]81[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\cgsxcqaf.exe - [B]Backdoor.Win32.Cetorp.ei[/B] ( BitDefender: Gen:Trojan.Heur.GZ.bmGfbekiOxl, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\администратор\pwonbh.exe - [B]Backdoor.Win32.Cetorp.es[/B] ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Loader.CV, AVAST4: Win32:Malware-gen )[*] c:\docume~1\9335~1\locals~1\temp\tmp2173 .exe - [B]Packed.Win32.Krap.gy[/B] ( DrWEB: Win32.HLLC.Asdas.3, BitDefender: Trojan.Agent.APCF, AVAST4: Win32:Crypt-GBX [Trj] )[*] c:\windows\system32\drivers\aomsazdn.sys - [B]Rootkit.Win32.Pakes.zo[/B] ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\qtplugin.exe - [B]Trojan-PSW.Win32.Agent.qli[/B] ( DrWEB: Trojan.MulDrop1.10781, BitDefender: Trojan.Agent.APCF, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\svchost.exe:ext.exe - [B]Trojan.Win32.Agent.dquf[/B] ( DrWEB: Trojan.Spambot.8377, BitDefender: Trojan.Agent.APDR, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Agent.dquf[/B] ( DrWEB: Trojan.Spambot.8377, BitDefender: Trojan.Agent.APDR, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wmicvrts.exe - [B]Backdoor.Win32.IRCBot.onb[/B] ( DrWEB: Win32.HLLW.Autoruner.17477, BitDefender: Backdoor.Tofsee.BE, AVAST4: Win32:Flot-C [Trj] )[*] c:\windows\system32\wmicvrts.exe - [B]Backdoor.Win32.IRCBot.onm[/B] ( DrWEB: Trojan.Siggen1.17094, BitDefender: Gen:Heur.Krypt.10, AVAST4: Win32:Flot-C [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]