После лечения или удаления заново создаються и запускаються cfdrive32.exe cwdrive32.exe (33.exe~4358.exe каждые 5-10мин после подключения к интернету dr.web их блокирует в карантин)
Printable View
После лечения или удаления заново создаються и запускаються cfdrive32.exe cwdrive32.exe (33.exe~4358.exe каждые 5-10мин после подключения к интернету dr.web их блокирует в карантин)
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\87.exe','');
QuarantineFile('C:\WINDOWS.0\system32\82.exe','');
QuarantineFile('C:\WINDOWS.0\system32\81.exe','');
QuarantineFile('C:\WINDOWS.0\system32\78.exe','');
QuarantineFile('C:\WINDOWS.0\system32\76.exe','');
QuarantineFile('C:\WINDOWS.0\system32\75.exe','');
QuarantineFile('C:\WINDOWS.0\system32\74.exe','');
QuarantineFile('C:\WINDOWS.0\system32\73.exe','');
QuarantineFile('C:\WINDOWS.0\system32\72.exe','');
QuarantineFile('C:\WINDOWS.0\system32\71.exe','');
QuarantineFile('C:\WINDOWS.0\system32\70.exe','');
QuarantineFile('C:\WINDOWS.0\system32\68.exe','');
QuarantineFile('C:\WINDOWS.0\system32\61.exe','');
QuarantineFile('C:\WINDOWS.0\system32\60.exe','');
QuarantineFile('C:\WINDOWS.0\system32\57.exe','');
QuarantineFile('C:\WINDOWS.0\system32\56.exe','');
QuarantineFile('C:\WINDOWS.0\system32\54.exe','');
QuarantineFile('C:\WINDOWS.0\system32\52.exe','');
QuarantineFile('C:\WINDOWS.0\system32\50.exe','');
QuarantineFile('C:\WINDOWS.0\system32\46.exe','');
QuarantineFile('C:\WINDOWS.0\system32\45.exe','');
QuarantineFile('C:\WINDOWS.0\system32\44.scr','');
QuarantineFile('C:\WINDOWS.0\system32\42.exe','');
QuarantineFile('C:\WINDOWS.0\system32\40.exe','');
QuarantineFile('C:\WINDOWS.0\system32\35.exe','');
QuarantineFile('C:\WINDOWS.0\system32\30.exe','');
QuarantineFile('C:\WINDOWS.0\system32\27.exe','');
QuarantineFile('C:\WINDOWS.0\system32\26.scr','');
QuarantineFile('C:\WINDOWS.0\system32\25.exe','');
QuarantineFile('C:\WINDOWS.0\system32\21.exe','');
QuarantineFile('C:\WINDOWS.0\system32\18.exe','');
QuarantineFile('C:\WINDOWS.0\system32\17.exe','');
QuarantineFile('C:\WINDOWS.0\system32\16.exe','');
QuarantineFile('C:\WINDOWS.0\system32\15.exe','');
QuarantineFile('C:\WINDOWS.0\system32\14.exe','');
QuarantineFile('C:\WINDOWS.0\system32\13.exe','');
QuarantineFile('C:\WINDOWS.0\system32\11.exe','');
QuarantineFile('C:\WINDOWS.0\system32\07.exe','');
QuarantineFile('C:\WINDOWS.0\system32\06.exe','');
QuarantineFile('C:\WINDOWS.0\system32\04.exe','');
QuarantineFile('C:\WINDOWS.0\system32\03.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9235912982-9930206754-119352274-9837\winmap.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9235912982-9930206754-119352274-9837\winmap.exe');
DeleteFile('C:\WINDOWS.0\system32\03.exe');
DeleteFile('C:\WINDOWS.0\system32\04.exe');
DeleteFile('C:\WINDOWS.0\system32\06.exe');
DeleteFile('C:\WINDOWS.0\system32\07.exe');
DeleteFile('C:\WINDOWS.0\system32\11.exe');
DeleteFile('C:\WINDOWS.0\system32\13.exe');
DeleteFile('C:\WINDOWS.0\system32\14.exe');
DeleteFile('C:\WINDOWS.0\system32\15.exe');
DeleteFile('C:\WINDOWS.0\system32\16.exe');
DeleteFile('C:\WINDOWS.0\system32\17.exe');
DeleteFile('C:\WINDOWS.0\system32\18.exe');
DeleteFile('C:\WINDOWS.0\system32\21.exe');
DeleteFile('C:\WINDOWS.0\system32\25.exe');
DeleteFile('C:\WINDOWS.0\system32\26.scr');
DeleteFile('C:\WINDOWS.0\system32\27.exe');
DeleteFile('C:\WINDOWS.0\system32\30.exe');
DeleteFile('C:\WINDOWS.0\system32\35.exe');
DeleteFile('C:\WINDOWS.0\system32\40.exe');
DeleteFile('C:\WINDOWS.0\system32\42.exe');
DeleteFile('C:\WINDOWS.0\system32\44.scr');
DeleteFile('C:\WINDOWS.0\system32\45.exe');
DeleteFile('C:\WINDOWS.0\system32\46.exe');
DeleteFile('C:\WINDOWS.0\system32\50.exe');
DeleteFile('C:\WINDOWS.0\system32\52.exe');
DeleteFile('C:\WINDOWS.0\system32\54.exe');
DeleteFile('C:\WINDOWS.0\system32\56.exe');
DeleteFile('C:\WINDOWS.0\system32\57.exe');
DeleteFile('C:\WINDOWS.0\system32\60.exe');
DeleteFile('C:\WINDOWS.0\system32\61.exe');
DeleteFile('C:\WINDOWS.0\system32\68.exe');
DeleteFile('C:\WINDOWS.0\system32\70.exe');
DeleteFile('C:\WINDOWS.0\system32\71.exe');
DeleteFile('C:\WINDOWS.0\system32\72.exe');
DeleteFile('C:\WINDOWS.0\system32\73.exe');
DeleteFile('C:\WINDOWS.0\system32\74.exe');
DeleteFile('C:\WINDOWS.0\system32\75.exe');
DeleteFile('C:\WINDOWS.0\system32\78.exe');
DeleteFile('C:\WINDOWS.0\system32\81.exe');
DeleteFile('C:\WINDOWS.0\system32\76.exe');
DeleteFile('C:\WINDOWS.0\system32\82.exe');
DeleteFile('C:\WINDOWS.0\system32\87.exe');
DeleteFile('C:\WINDOWS.0\cfdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"] полного сканирования МВАМ[/url]
MD5 131ac6a1b7223c4a027eed963819d0f8
Удалите в МВАМ
[CODE]Заражённые процессы в памяти:
c:\WINDOWS.0\cwdrive32.exe (Backdoor.Bot) -> 1636 -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.Bot) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.Bot) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\psysnew (Backdoor.Bot) -> Value: psysnew -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.
Заражённые файлы:
c:\WINDOWS.0\cwdrive32.exe (Backdoor.Bot) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe (Backdoor.Bot) -> No action taken.
c:\RECYCLER\s-1-5-21-0708517320-0106727868-670595411-7913\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-8718861317-4067351499-148143179-6592\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-7897210379-0175324528-639272110-4321\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-5533208007-5521241008-100496125-6761\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-9468701358-3843983900-595935784-9063\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-9567168953-4031165607-551661932-4934\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2804493897-7059781159-600524811-0793\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2839615275-3942961236-312161948-5975\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2917027624-7084952392-213796320-5652\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2917411629-1235817306-639427219-4668\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-6201070709-2099412022-916259038-9717\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-9071827652-5720093902-524543496-2930\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-9235912982-9930206754-119352274-9837\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-6520148305-4807816934-747857333-1158\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-4393223755-1808740517-607346602-0493\syscr.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP28\A0011239.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP29\A0014299.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP30\A0016327.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP30\A0016368.dll (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP75\A0029692.exe (Trojan.Dropper) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\gmep[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\gmep[2].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\naax[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\nnet[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\nnet[2].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\tt[1].exe (Trojan.VBKrypt) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\I3ZWDOTQ\ditc[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\I3ZWDOTQ\gmep[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\I3ZWDOTQ\juoc[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\ciyk[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\ciyk[2].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\juoc[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\lxef[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\svid[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\svid[2].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\anineh[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\gmep[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\juoc[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\nnet[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\svid[1].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\svid[2].exe (Trojan.Agent) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\tt[1].exe (Trojan.VBKrypt) -> No action taken.
c:\Users\администратор\application data\ltzqai.exe (Trojan.Agent) -> No action taken.
c:\Users\администратор\application data\oekx.exe (Trojan.Agent) -> No action taken.
c:\Users\администратор\local settings\temporary internet files\Content.IE5\6552X7GS\thenadioscbw[1]._ (Trojan.Agent) -> No action taken.
c:\Users\администратор\local settings\temporary internet files\Content.IE5\6552X7GS\ehbew[1].vs (Trojan.Agent) -> No action taken.
c:\Users\администратор\local settings\temporary internet files\Content.IE5\ELD59SQ6\fevwhnu[1].ea (Backdoor.Bot) -> No action taken.
c:\Users\администратор\local settings\temporary internet files\Content.IE5\ELD59SQ6\psjefwbh[1]._ (Backdoor.Bot) -> No action taken.
c:\Users\администратор\local settings\temporary internet files\Content.IE5\LAK3ABFJ\fevwhnu[1].ea (Backdoor.Bot) -> No action taken.
c:\Users\администратор\local settings\temporary internet files\Content.IE5\LE4IVNEV\ehbew[1].vs (Trojan.Agent) -> No action taken.
c:\Users\администратор\мои документы\downloads\xpadder_5.3_multilang_rus_portable_-_emulyator_dlya_djoystika.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS.0\system32\02.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\28.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\65.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\67.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\83.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\Temp\021.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\Temp\3663.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS.0\Temp\380.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\Temp\5504.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS.0\Temp\743.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\Temp\857.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\администратор\application data\oekx.exe (Worm.Palevo) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
[/CODE]Сделайте новый лог МВАМ
Удалил, перезагрузил, проверил mbam, вроде всё проблемма решена.
Для контроля сделайте логи virusinfo_syscheck.zip и HijackThis
.
Что сейчас с проблемой?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Выполните эту процедуру--[URL="http://virusinfo.info/showthread.php?t=3519"]http://virusinfo.info/showthread.php?t=3519[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
end;
end;
end;
end;
begin
FixServiceStart('wscsvc');
SaveLog(GetAVZDirectory+'LOG\avz.log');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
Теперь сам запускаеться gwdrive32.exe и сам закрывает во время сканирования программы AVZ и МВАМ, после перезагруски создаеться и включаеться разные EXE-под номерами которые заново скачивают gwdrive32.exe
После 3-5 ч. вкл.интернета возникают ошибки generic host process
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\gwdrive32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\88.scr','');
QuarantineFile('C:\WINDOWS.0\system32\77.scr','');
QuarantineFile('C:\WINDOWS.0\system32\72.scr','');
QuarantineFile('C:\WINDOWS.0\system32\32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\27.scr','');
QuarantineFile('C:\WINDOWS.0\system32\24.exe','');
QuarantineFile('C:\WINDOWS.0\system32\22.scr','');
QuarantineFile('C:\WINDOWS.0\system32\14.scr','');
QuarantineFile('C:\WINDOWS.0\system32\04.scr','');
QuarantineFile('C:\WINDOWS.0\system32\13.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
QuarantineFile('C:\WINDOWS.0\TEMP\3388.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2859583316-0262338211-590875377-7481\winmap.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('c:\windows.0\gwdrive32.exe','');
TerminateProcessByName('c:\windows.0\gwdrive32.exe');
DeleteFile('c:\windows.0\gwdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2859583316-0262338211-590875377-7481\winmap.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS.0\TEMP\3388.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
DeleteFile('C:\WINDOWS.0\system32\13.exe');
DeleteFile('C:\WINDOWS.0\system32\04.scr');
DeleteFile('C:\WINDOWS.0\system32\14.scr');
DeleteFile('C:\WINDOWS.0\system32\22.scr');
DeleteFile('C:\WINDOWS.0\system32\24.exe');
DeleteFile('C:\WINDOWS.0\system32\27.scr');
DeleteFile('C:\WINDOWS.0\system32\32.exe');
DeleteFile('C:\WINDOWS.0\system32\72.scr');
DeleteFile('C:\WINDOWS.0\system32\77.scr');
DeleteFile('C:\WINDOWS.0\system32\88.scr');
DeleteFile('C:\WINDOWS.0\gwdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(11);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_Activate;
RebootWindows(true);
end.[/CODE]Закачайте карантин, сделайте комплект логов и лог МВАМ
Ошибка generic host process(возникает только со включиным интернетом после её звук и инет не работает, приходиться перезагружать) и разные #.EXE остались.
Карантин сохранён как 101216_003009_virus_4d09336148e63.zip
MD5 564129800555484a0bf130398ce4defb
1.[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] все найденное
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('c:\Users\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
А также
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows.
В противном случае сетевой червяк от Вас не отвяжется
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]54[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\ltzqai.exe - [B]Trojan.Win32.Pincav.aoqs[/B] ( DrWEB: Trojan.Inject.18231, BitDefender: Trojan.Generic.KDV.85688, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\администратор\\application data\\oekx.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.17170, BitDefender: Trojan.Generic.KDV.89364, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - [B]Trojan.Win32.VBKrypt.ahbo[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.VBKrypt.4, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - [B]Trojan.Win32.VBKrypt.agxz[/B] ( DrWEB: Trojan.Click.50748, BitDefender: Trojan.Generic.5194888, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-2859583316-0262338211-590875377-7481\\winmap.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )[*] c:\\windows.0\\cwdrive32.exe - [B]Trojan.Win32.VBKrypt.afqf[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5275433, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows.0\\gwdrive32.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.DownLoader1.44654, BitDefender: Gen:Variant.Tofsee.1, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\02.exe - [B]P2P-Worm.Win32.Palevo.bjmi[/B] ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\04.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\13.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )[*] c:\\windows.0\\system32\\14.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\22.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\24.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )[*] c:\\windows.0\\system32\\27.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\28.exe - [B]P2P-Worm.Win32.Palevo.bjmi[/B] ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\32.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )[*] c:\\windows.0\\system32\\67.exe - [B]P2P-Worm.Win32.Palevo.bjmj[/B] ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\72.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\77.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\system32\\88.scr - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows.0\\temp\\3388.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Proxy.2751, BitDefender: Worm.Generic.293820, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]