Они загружают процессор на 100%
Прошу посмотреть
Printable View
Они загружают процессор на 100%
Прошу посмотреть
Поехали -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\system32\userini.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
QuarantineFile('C:\Documents and Settings\1\Application Data\yftza.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\1\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\Documents and Settings\1\csrss.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\yftza.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe');
DelAutorunByFileName('C:\WINDOWS\system32\userini.exe');
DelAutorunByFileName('C:\Documents and Settings\1\Application Data\yftza.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Повторите логи, отпишитесь о состоянии.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
На заметку - вот с этим - Windows XP [B]SP2[/B], Internet Explorer [B]v6.00 SP2[/B], мы Вас вылечем где-то на пару дней, обновлять надо срочно.
Дополнительно к совету [B]Olejah[/B] сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
карантин выслал и логи подцепил
А рекомендацию [B]thyrex[/B]?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Живучие гады -
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\PAZI\avtomat.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\1\csrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip2[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
И приложите лог [B]mbam[/B].
карантин и логи выслал
лог mbam будет позже
Пока ждём лог mbam -
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('F:\autorun.inf');
DeleteFile('F:\PAZI\avtomat.exe');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\oeejwmrxe');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\oeejwmrxe\Parameters');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
вот все логи
Ага, всплыли красавцы -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('RTIFDH');
QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys','');
QuarantineFile('C:\WINDOWS\TEMP\zezutctafhr.sys','');
QuarantineFile('C:\WINDOWS\system32\bjdpz.dll','');
DeleteFile('C:\WINDOWS\system32\bjdpz.dll');
DeleteFile('C:\WINDOWS\TEMP\zezutctafhr.sys');
DeleteService('jzywviufqdwss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine3.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
И ещё пожалуйста, логи + лог mbam, надо убедиться, что выживших не осталось.
карантин, логи, mbam позже
...а вот лог mbam
Было - Windows XP [B]SP2[/B], Internet Explorer [B]v6.00 SP2[/B], а стало - Windows XP [B]SP3[/B] Internet Explorer [B]v8.00[/B] (8.00.6001.18702), Вы успели уже обновлений накатить? По логам АВЗ зверьё вымерло, ждём mbam.
вот лог mbam
что скажите?
прошу посмотреть
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\Temp\~TM17.tmp','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\AW5ZF6DF\update[1].exe','');
end. [/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные папки:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\1\DoctorWeb\Quarantine\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\AW5ZF6DF\update[1].exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\~TM17.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\1\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.[/CODE]
Проверьте наличие файла [B]grpconv.exe[/B] в папке [B]C:\WINDOWS\system32[/B].
В случае отсутствия восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
карантин выслал, файл заменил, спасибо
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 15 минут[/I][/B][/color][/size]
может быть еще какой- нибудь лог сделать?
Давайте наверное для убедительности ещё разок mbam пройдёмся. Если интересно в карантине было - C:\WINDOWS\system32\wbem\grpconv.exe - [B]Backdoor.Win32.Bredolab.fkl[/B]
C:\WINDOWS\Temp\~TM17.tmp - [B]Backdoor.Win32.Bredolab.fkl[/B]
вот он лог, поглядите
Удалите
[CODE]C:\temp\avz4\Quarantine\2010-07-10\avz00001.dta (Trojan.Dropper) -> No action taken.
C:\temp\avz4\Quarantine\2010-07-10\avz00002.dta (Trojan.Dropper) -> No action taken.[/CODE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\1\application data\yftza.exe - [B]Email-Worm.Win32.Iksmas.hsz[/B] ( DrWEB: Trojan.MulDrop1.36133, BitDefender: Win32.Worm.TSU, AVAST4: Win32:Bredolab-DJ [Trj] )[*] c:\documents and settings\1\csrss.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )[*] c:\windows\explorer.exe:userini.exe - [B]Email-Worm.Win32.Joleee.ezl[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.ezl[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.ezl[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )[*] c:\windows\system32\wbem\grpconv.exe - [B]Backdoor.Win32.Bredolab.fkl[/B] ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4481817, AVAST4: Win32:Bredolab-DJ [Trj] )[*] c:\windows\temp\~tm17.tmp - [B]Backdoor.Win32.Bredolab.fkl[/B] ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4481817, AVAST4: Win32:Bredolab-DJ [Trj] )[*] f:\pazi\avtomat.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )[/LIST][/LIST]