Логи прилагаются
Printable View
Логи прилагаются
Почему логи сделали в безопасном режиме?
Скачайте "OSAM" ([URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]Online Solutions Autorun Manager[/URL]). В меню драйверов правой кнопкой по [B]phkphwx[/B] и выберите "Turn Run Off". Подтвердите перезагрузку.
После закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\phkphwx.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc138.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc138.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\phkphwx.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам в нормальном режиме
новые логи
Ничего плохого не вижу.
Но опять лезет... что за черт!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\cdrom.sys','');
QuarantineFile('C:\WINDOWS\system32\dllcache\cdrom.sys','');
QuarantineFile('c:\documents and settings\spartak\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Spartak\Главное меню\Программы\Автозагрузка\monxga32.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\program files\common files\securit\zservice14.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\Spartak\Local Settings\Application Data\vma.exe','');
DeleteFile('C:\Documents and Settings\Spartak\Local Settings\Application Data\vma.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\Documents and Settings\Spartak\Главное меню\Программы\Автозагрузка\monxga32.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('c:\documents and settings\spartak\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам. Я с бадуна подозреваю, что у Вас заражен системный файл.
Стало ещё хужее :-(
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\localservice\local settings\application data\vma.exe');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\vma.exe','');
QuarantineFile('c:\documents and settings\localservice\local settings\application data\vma.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc4.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-1258565869-1372703035-646835151-1147\Dc4.sys');
DeleteFile('c:\documents and settings\localservice\local settings\application data\vma.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\vma.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
[B]C:\WINDOWS\system32\DRIVERS\cdrom.sys[/B] - замените чистым с дистрибутива. Подробнее [URL="http://virusinfo.info/showthread.php?t=51654"]здесь[/URL]
Сделайте новые логи по правилам
вот
Архив с файлами карантина надо через AVZ создавать. Вы 2 последних прислали с непонятно каким паролем. Пришлите карантин как следует.
Выполните в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
пароль был - virus
[QUOTE='visahouse;627927']пароль был - virus [/QUOTE]Не подходит.
[B]AndreyKa[/B], я удалил уже те карантины... но попробую сейчас восстановить.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\phkphwx.sys - [B]Rootkit.Win32.Bubnix.s[/B] ( DrWEB: Trojan.WinSpy.713, BitDefender: Trojan.Generic.3834966, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]