Возникла проблема с монокой. SoS товарищи, выслал отчеты, жду помощи. Скажите о чем забыл и что еще надо. Заранее спс.
Printable View
Возникла проблема с монокой. SoS товарищи, выслал отчеты, жду помощи. Скажите о чем забыл и что еще надо. Заранее спс.
вот еще - забыл
syscure - пришлите.
вот
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] [B][COLOR="Blue"]в безопасном режиме[/COLOR][/B]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\WINDOWS.0\system32\sudylo.exe','');
QuarantineFile('C:\WINDOWS.0\system32\jufooj.exe','');
QuarantineFile('C:\WINDOWS.0\system32\faty.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\kzutr.sys','');
DeleteService('vsdicgzqbdnj');
DeleteService('smbykzhhp');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\pyytokj.sys','');
DeleteService('qcmhvoapvqbqptp');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\eopybafxq.sys','');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\hpzszguirw.sys','');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\vbdixsqxboxludv.sys','');
DeleteService('oxclpebfn');
DeleteService('ouoqafhndemba');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\qihmhextjll.sys','');
DeleteService('lgbzgellz');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\jrdnzsbcm.sys','');
DeleteService('bzytagoq');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Microsoft\savuzily.exe','');
DeleteService('hl2p14b5umoon');
QuarantineFile('C:\WINDOWS.0\system32\quafitoottoov.exe','');
DeleteService('ud2geeaxae');
DeleteFile('C:\WINDOWS.0\system32\quafitoottoov.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Microsoft\savuzily.exe');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\jrdnzsbcm.sys');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\qihmhextjll.sys');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\vbdixsqxboxludv.sys');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\hpzszguirw.sys');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\kzutr.sys');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS.0\system32\jufooj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','kyrav');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','wyrou');
DeleteFile('C:\WINDOWS.0\system32\sudylo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','fyzu');
DeleteFile('C:\thumbs.db');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\pard.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\pard.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-52C20F\ctfmon.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] оставшееся
[CODE]
Зараженные модули в памяти:
C:\Documents and Settings\All Users.WINDOWS.0\Документы\Settings\cbss.dll (Malware.Packer.Gen) -> No action taken.
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Malware.Packer.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\intranet (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\windows services (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\All Users.WINDOWS.0\Документы\Settings\cbss.dll (Malware.Packer.Gen) -> No action taken.
C:\scan.exe (Worm.PushBot) -> No action taken.
C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
D:\System Volume Information\_restore{4AD5EFB1-9A1F-47E7-9A52-EC5C01C1AD62}\RP5\A0001061.exe (RiskWare.Tool.CK) -> No action taken.
C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin.MICROSOF-52C20F\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS.0\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Admin.MICROSOF-52C20F\ctfmon.exe (Trojan.Agent) -> No action taken.
[/CODE]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [B]log.txt[/B] и [B]info.txt[/B]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]