помогите, трояны атакуют

Printable View

Показывать 40 сообщений этой темы на одной странице

12.09.2010, 10:40
rhapsody

помогите, трояны атакуют

помогите, пожалуйста
не спасла даже переустановка системы
12.09.2010, 11:43
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
QuarantineFile('C:\RECYCLER\S-1-5-21-7061021492-8193966904-794007732-4879\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7061021492-8193966904-794007732-4879\syscr.exe');
QuarantineFile('C:\Documents and Settings\Ксюша Спенсер\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\Documents and Settings\Ксюша Спенсер\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
12.09.2010, 12:27
rhapsody

карантин отправила
вот лог МВАМ
12.09.2010, 12:29
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите[/URL] всё, что нашёл МВАМ

- Повторите лог
12.09.2010, 12:42
rhapsody

ок... вот новый лог
12.09.2010, 12:44
olejah

Чисто, что с проблемой?
12.09.2010, 12:47
rhapsody

антивирус верещит, что нас опять атакуют.... буквально минуту назад сообщил о новом трояне
12.09.2010, 12:50
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
12.09.2010, 13:18
rhapsody

ок
12.09.2010, 15:04
olejah

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\windows\system32\ezsidmv.dat
c:\windows\system32\01.exe
c:\windows\system32\05.exe
c:\windows\system32\06.exe
c:\windows\system32\10.exe
c:\windows\system32\18.exe
c:\windows\system32\22.exe
c:\windows\system32\26.exe
c:\windows\system32\30.exe
c:\windows\system32\33.exe
c:\windows\system32\34.exe
c:\windows\system32\37.exe
c:\windows\system32\38.exe
c:\windows\system32\40.exe
c:\windows\system32\44.exe
c:\windows\system32\46.exe
c:\windows\system32\51.exe
c:\windows\system32\52.exe
c:\windows\system32\60.exe
c:\windows\system32\61.exe
c:\windows\system32\63.exe
c:\windows\system32\66.exe
c:\windows\system32\68.exe
c:\windows\system32\70.exe
c:\windows\system32\71.exe
c:\windows\system32\72.exe
c:\windows\system32\74.exe
c:\windows\system32\75.exe
c:\windows\system32\76.exe
c:\windows\system32\80.exe
c:\windows\system32\81.exe
c:\windows\system32\82.exe
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
12.09.2010, 15:44
rhapsody

comb ругается: were you trying to run CFScript? the name, CFScript appears to be incorrectly spelt
12.09.2010, 16:43
olejah

Вы в точности выполняете инструкцию?
12.09.2010, 17:09
rhapsody

простите(((
вот лог
12.09.2010, 22:51
thyrex

Логи МВАМ и AVZ еще раз сделайте
13.09.2010, 16:54
rhapsody

вот логи
13.09.2010, 17:00
olejah

Проверьтесь так - [URL="http://support.kaspersky.ru/faq/?qid=208636926"]http://support.kaspersky.ru/faq/?qid=208636926[/URL] лог приложите к следующему сообщению. [QUOTE]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]
13.09.2010, 17:04
rhapsody

он ничего не нашел
13.09.2010, 17:07
olejah

Ещё как нашёл, файл [B]C:\WINDOWS\System32\drivers\prodrv04.sys[/B] запакуйте с паролем [B]virus[/B] и пришлите по ссылке вверху - [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR]
13.09.2010, 17:17
rhapsody

киллер его видимо удали, потому что его даже в скрытых нет
13.09.2010, 17:18
rhapsody

вот новый лог

Показывать 40 сообщений этой темы на одной странице