Высылаю логи с компьютера, который использует для выхода в Интернет рсшаренный ADSL-модем на другом компьютере, но, судя по тому, как он последнее время "тормозит"... с ним тоже не все в порядке.
Printable View
Высылаю логи с компьютера, который использует для выхода в Интернет рсшаренный ADSL-модем на другом компьютере, но, судя по тому, как он последнее время "тормозит"... с ним тоже не все в порядке.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE] SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\ponnol.exe');
QuarantineFile('C:\WINDOWS\system32\vouhu.exe','');
QuarantineFile('C:\WINDOWS\system32\hojygouj.exe','');
QuarantineFile('c:\windows\system32\ponnol.exe','');
QuarantineFile('C:\Documents and Settings\penguin\Application Data\ozzfhv.exe','');
DeleteFile('C:\Documents and Settings\penguin\Application Data\ozzfhv.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Скрипты выполнены.
Карантин отправлен.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\ponnol.exe');
DeleteFile('C:\WINDOWS\system32\vouhu.exe');
DeleteFile('C:\WINDOWS\system32\hojygouj.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
Скрипт выполнил.
Логи прилагаю
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\penguin\Local Settings\Temp\795.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\penguin\msgvn.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\penguin\Local Settings\Temporary Internet Files\Content.IE5\8TKNCR8Z\loader[1].exe (Trojan.Downloader) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\penguin\Local Settings\Temp\utt685.tmp.exe (Trojan.Pakes) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys','');
QuarantineFile('C:\Documents and Settings\penguin\msgvn.exe','');
QuarantineFile('C:\WINDOWS\system32\quizabonnaqu.exe','');
QuarantineFile('C:\WINDOWS\system32\zoocou.exe','');
QuarantineFile('C:\WINDOWS\nVGA_i2c.dll','');
DeleteFile('C:\Documents and Settings\penguin\msgvn.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите те же логи.
Исполнил...
Удалите в MBAM -
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\reklosoft_adw.helper_bar (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bar.1 (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bho (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bho.1 (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e743cf05-181c-4d72-b4ee-95435ed4b86b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f1287389-b2fe-4315-8484-540b2033646d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{d96fa298-1bb6-47fc-ad21-72781b744dc3} (Adware.Reklosoft) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{2552632f-867d-4052-b836-7f83a5302534} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\penguin\msgvn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите лог [B]virusinfo_syscure.zip [/B]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\penguin\msgvn.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\zoocou.exe','');
QuarantineFile('C:\WINDOWS\system32\quizabonnaqu.exe','');
DeleteService('d2yuaopatxaos87');
BC_DeleteFile('C:\WINDOWS\system32\quizabonnaqu.exe');
DeleteFile('C:\WINDOWS\system32\zoocou.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\NDIS.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин на проверку.
Исполнение последнего скрипта закончилось
полной "изоляцией" компьютера:
Все сетевые устройства (Сntrol panel->System->Hardware->Device Manager-> Network adapters) "лишились драйверов" (см. скриншот, переустановка не проходит), раздел Netware Connections - пуст, USB-флешки не читает и предлагает переразметить.
HELP!!!!
- восстановите файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].
А также скачайте файл во вложении, распакуйте и внесите информацию в реестр двойным кликом левой кнопки мыши
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\penguin\application data\ozzfhv.exe - [B]Trojan.Win32.Pincav.adrl[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DO [Trj] )[*] c:\documents and settings\penguin\msgvn.exe - [B]P2P-Worm.Win32.Palevo.atba[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Win32.Worm.Rimecud.Y, AVAST4: Win32:Fitmu-B [Spy] )[*] c:\windows\system32\drivers\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.B virus, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\hojygouj.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Warezov-MF [Wrm] )[*] c:\windows\system32\vouhu.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Warezov-MF [Wrm] )[/LIST][/LIST]