Добрый день .
Похоже что подцепил на машину какую-то гадость.
В c:\windows\system32\ - появились свежие .exe файлы (часть из них drweb прибил, часть нет) , машина подтормаживает...
посмотрите пожалуйста
Printable View
Добрый день .
Похоже что подцепил на машину какую-то гадость.
В c:\windows\system32\ - появились свежие .exe файлы (часть из них drweb прибил, часть нет) , машина подтормаживает...
посмотрите пожалуйста
Доброго времени суток
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\4196b3a6.exe,\\?\globalroot\systemroot\system32\7sLF92Y.exe,[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\4196b3a6.exe','');
QuarantineFile('C:\DOCUME~1\sveta\LOCALS~1\Temp\8OKpBPE4.sys','');
QuarantineFile('globalroot\systemroot\system32\7sLF92Y.exe','');
DeleteFile('globalroot\systemroot\system32\7sLF92Y.exe');
DeleteFile('C:\DOCUME~1\sveta\LOCALS~1\Temp\8OKpBPE4.sys');
DeleteFile('C:\WINDOWS\system32\4196b3a6.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log) + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Спасибо. Логи делаю. карантин пуст..
exe файлы проверил обновленным dr.web-ом.
оказалось Trojan.PWS.Ibank.28 и Trojan.MulDrop.64715
Вот новые логи
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qwdph.dll','');
DeleteFile('C:\WINDOWS\system32\qwdph.dll');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\brezoixd\Parameters');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\txtthd\Parameters');
BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\brezoixd\Parameters');
BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\txtthd\Parameters');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\brezoixd');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\txtthd');
BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\brezoixd');
BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\txtthd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Скрипт выполнил. Карантин пустой. SP3 - качаю....
На мой взгляд все осталось по прежнему. :(
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8s3drwdm.exe (gmer)
[CODE]8s3drwdm.exe -del service brezoixd
8s3drwdm.exe -del service txtthd
8s3drwdm.exe -del file "C:\WINDOWS\system32\qwdph.dll"
8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\brezoixd"
8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txtthd"
8s3drwdm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\brezoixd"
8s3drwdm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\txtthd"
8s3drwdm.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Выполнил.
В процессе ПК ругнулся на
8s3drwdm.exe -del file "C:\WINDOWS\system32\qwdph.dll" - файл не найден и на
8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\brezoixd"
8s3drwdm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txtthd" - некорректный параметр
Вот новые логи.
ФВинду обновляю
Плохого не видно, что с проблемой?
Пока все в порядке.... Ставлю обновления и заплатки
[B] Спасибо большое.. [/B]
А что у меня на машине было ?
service brezoixd
service txtthd - Это что ?
[QUOTE='alyen;628487']service brezoixd
service txtthd - Это что ?[/QUOTE]Это службы от Кидо
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый