Посмотрите пожалуйста

Printable View

17.04.2010, 14:07
alivan

Посмотрите пожалуйста

Вирусы прописались на компьютере...
17.04.2010, 14:41
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\RECYCLER\S-1-5-21-5625242918-9362903069-889545326-5248\wmiprvse.exe','');
TerminateProcessByName('c:\documents and settings\all users\application data\a8a2019\sga8a2.exe');
QuarantineFile('c:\documents and settings\all users\application data\a8a2019\sga8a2.exe','');
DeleteFile('c:\documents and settings\all users\application data\a8a2019\sga8a2.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Security Guard');
DeleteFile('C:\RECYCLER\S-1-5-21-5625242918-9362903069-889545326-5248\wmiprvse.exe');
DeleteFileMask('c:\documents and settings\all users\application data\a8a2019', '*.*', true);
DeleteDirectory('c:\documents and settings\all users\application data\a8a2019');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.04.2010, 15:31
alivan

Карантин отправил. Новые логи.
17.04.2010, 15:49
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\ReCYClER\explorer.exe','');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\ReCYClER\explorer.exe');
DeleteFileMask('J:\ReCYClER', '*.*', true);
DeleteDirectory('J:\ReCYClER');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.04.2010, 16:26
alivan

Карантин отправил. Новые логи.
17.04.2010, 18:27
thyrex

Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
17.04.2010, 19:52
alivan

Сделал.
17.04.2010, 22:06
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] все найденное, [B]кроме[/B]
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/CODE]
17.04.2010, 22:41
alivan

Сделал. Прошу прощения, случайно закрыл лог. Сейчас сделаю новый.
17.04.2010, 22:44
thyrex

А повторный лог МВАМ тогда где?
17.04.2010, 22:59
alivan

Вот и лог.
17.04.2010, 23:06
thyrex

Теперь еще раз лог virusinfo_syscheck.zip
17.04.2010, 23:14
alivan

Лог.
17.04.2010, 23:29
thyrex

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится

Сделайте новый лог
17.04.2010, 23:43
alivan

Новый лог.
17.04.2010, 23:52
thyrex

Эти записи в файле hosts Ваши?
[QUOTE]74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 _www.gеtantivirusplusnow.com
74.125.45.100 _www.secure-plus-paymеnts.com
74.125.45.100 _www.gеtavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 _www.securesoftwarеbill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com[/QUOTE]Если нет, удалите вручную
18.04.2010, 08:38
alivan

Не мои. Интересно, почему AVZ не почистил? Удалил руками.
Может потому что файл недоступен для редактирования ни в обычном ни в безопасном режиме?
(Записи удалены)
18.04.2010, 11:46
thyrex

Больше проблемы не беспокоят?
18.04.2010, 11:54
alivan

Вроде нет. Спасибо.
19.04.2010, 11:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\a8a2019\sga8a2.exe - [B]Trojan.Win32.Tdss.bbbt[/B] ( DrWEB: BackDoor.Tdss.2516, BitDefender: Gen:Variant.TDss.12, AVAST4: Win32:Jifas-FB [Trj] )[*] c:\recycler\s-1-5-21-5625242918-9362903069-889545326-5248\wmiprvse.exe - [B]P2P-Worm.Win32.Palevo.ann[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.P2P.Palevo.B, NOD32: Win32/Peerfrag.EE worm, AVAST4: Win32:Rimecud-B [Wrm] )[*] j:\autorun.inf - [B]Trojan.Win32.AutoRun.bm[/B] ( BitDefender: Trojan.AutorunINF.Gen, AVAST4: VBS:Malware-gen )[*] j:\recycler\explorer.exe - [B]P2P-Worm.Win32.Palevo.ann[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.P2P.Palevo.B, NOD32: Win32/Peerfrag.EE worm, AVAST4: Win32:Rimecud-B [Wrm] )[*] recycler\explorer.exe - [B]P2P-Worm.Win32.Palevo.ann[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.P2P.Palevo.B, NOD32: Win32/Peerfrag.EE worm, AVAST4: Win32:Rimecud-B [Wrm] )[/LIST][/LIST]