Всем доброго дня!
прошу помочь по сабжу.
Спасибо.
Printable View
Всем доброго дня!
прошу помочь по сабжу.
Спасибо.
Вот, добавил полный гмер-лог
Доброго времени суток
Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
[CODE]bncjtigj.exe -del service vowcuegya
bncjtigj.exe -del service wbqzf
bncjtigj.exe -del file "C:\WINDOWS\system32\letbiu.dll"
bncjtigj.exe -del file "C:\WINDOWS\system32\06BBA.tmp"
bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vowcuegya"
bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vowcuegya"
bncjtigj.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
выполните скрипт в AVZ:[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('c:\sspservice\skstransport.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hbkernel32.sys','');
QuarantineFile('C:\WINDOWS\system32\06BBA.tmp','');
QuarantineFile('C:\WINDOWS\system32\8b52f47.sys','');
QuarantineFile('C:\WINDOWS\system32\4c70249.sys','');
QuarantineFile('C:\WINDOWS\system32\4901228.sys','');
QuarantineFile('E:\DataCollector\DataCollector.exe','');
end.[/CODE]
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи gmer и virusinfo_syscheck.zip
Файл сохранён как 100702_161310_quarantine_4c2dd7d6a8135.zip
Размер файла 33535
MD5 f3d5ce0935e76f363f9bbcdd0badb528
Сейчас готовятся логи.
Там в карантине есть безобидные служебные вещи...
При создании повторного лога gmer на Scan забыли нажать. Переделать
Сорри...
Этот лог в порядке. По карантину АВЗ надо ждать, пока проснется киберанализатор
Доброе утро!
Сейчас пришёл на работу, компьютер с пятницы не выключал. Опять 130 процессов rundll32.exe... :(
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wbqzf');
DeleteService('8b52f47');
DeleteService('4c70249');
DeleteService('4901228');
DeleteFile('C:\WINDOWS\system32\4901228.sys');
DeleteFile('C:\WINDOWS\system32\4c70249.sys');
DeleteFile('C:\WINDOWS\system32\8b52f47.sys');
DeleteFile('C:\WINDOWS\system32\06BBA.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Новые логи. Сканирование ещё не закончилось, опять повалили rundll32.exe
[QUOTE]Platform: Windows [B]XP SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00 SP2[/B] (6.00.2900.2180)[/QUOTE]Это в благодарность за дырявость системы к Вам Kido лезет
Обновляйте срочно систему
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Не знаю, зачем, но прогнал kidokiller. Вроде помогло.
Затем выполнил Ваши инструкции и запустил combofix.
лог в атт.
ЗЫ: Вложения можно очистить? ато уже места не хватает...
Да, самые древние вложения (не из этой темы) можно удалить через [B]Мой кабинет[/B]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
NetSvc::
wkczncgj
vowcuegya
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2147:TCP"=-
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Да, приятного мало... Оставил работать combofix и ушёл домой. Утром таже картина. лог в атт.
Систему обновлять думаете?
Извините за задержку. Всё обновил.
Установили только SP3 или все новые патчи тоже устанавливали?
Да, установил всё, догнал с WU. Только теперь на virusinfo заходит только через 216.246.90.119. Gmer обнаружил rootkit. Начинать всё с начала?
Сделайте логи.
Новые логи