ПОМОГИТЕ!!! нахватался я вирусов всяких пород........Проверял DrWeb вычистил все что мог! Но вот какие-то бутлоадеры и всяческие msvmiode.exe,ali.exe не могу вытравить! Логи прикладываю!
Printable View
ПОМОГИТЕ!!! нахватался я вирусов всяких пород........Проверял DrWeb вычистил все что мог! Но вот какие-то бутлоадеры и всяческие msvmiode.exe,ali.exe не могу вытравить! Логи прикладываю!
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('RGWIE.dll','');
QuarantineFile('C:\Windows\System32\Debug.dll','');
QuarantineFile('C:\WINDOWS\System32\cokrhh.dll','');
QuarantineFile('C:\WINDOWS\System32\cokrh2.dll','');
QuarantineFile('C:\WINDOWS\System32\cokrh1.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');
SetServiceStart('TCPZ', 4);
DeleteService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\SJAYEFO4\D002.exe','');
QuarantineFile('C:\WINDOWS\Atf.exe','');
QuarantineFile('C:\WINDOWS\system32\hpmg.exe','');
QuarantineFile('C:\WINDOWS\system32\BCVY1LF7\G001.exe','');
QuarantineFile('C:\WINDOWS\System32\ctsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\eaaa.exe','');
QuarantineFile('C:\WINDOWS\system32\FOZEU38B\B89.exe','');
QuarantineFile('C:\WINDOWS\system32\6IXDXOT2\J001.exe','');
DeleteService('u7t');
DeleteService('supersev');
DeleteService('srgr');
DeleteService('NetActive');
DeleteService('MD ServicesB1');
DeleteService('hacking58');
DeleteService('Atif');
DeleteService('asfdsfdsfds');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('c:\windows\system32\waibaprnlib.dll','');
TerminateProcessByName('c:\windows\system32\tuqrm.exe');
QuarantineFile('c:\windows\system32\tuqrm.exe','');
DeleteFile('c:\windows\system32\tuqrm.exe');
DeleteFile('c:\windows\system32\waibaprnlib.dll');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
DeleteFile('C:\WINDOWS\system32\6IXDXOT2\J001.exe');
DeleteFile('C:\WINDOWS\system32\FOZEU38B\B89.exe');
DeleteFile('C:\WINDOWS\system32\eaaa.exe');
DeleteFile('C:\WINDOWS\System32\ctsrv.exe');
DeleteFile('C:\WINDOWS\system32\BCVY1LF7\G001.exe');
DeleteFile('C:\WINDOWS\system32\hpmg.exe');
DeleteFile('C:\WINDOWS\Atf.exe');
DeleteFile('C:\WINDOWS\system32\SJAYEFO4\D002.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-5766862215-8399272225-907251168-9286\winmap.exe,C:\RECYCLER\S-1-5-21-8945552487-5653678475-326842036-1892\syscr.exe,C:\RECYCLER\S-1-5-21-1667499963-4328217606-606495709-2722\winmap.exe,C:\RECYCLER\S-1-5-21-7392101617-8345053989-566565081-3836\syscr.exe,C:\RECYCLER\S-1-5-21-1667681270-6913820623-617370926-3214\winmap.exe,C:\Documents and Settings\User\Application Data\ltzqai.exe,C:\Documents and Settings\User\Application Data\oekx.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5002760767-4724529432-306338699-0784\syscr.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\System32\cokrh1.dll');
DeleteFile('C:\WINDOWS\System32\cokrh2.dll');
DeleteFile('C:\WINDOWS\System32\cokrhh.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cokrhh\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cokrh2\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cokrh1\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaibSvc\Parameters','ServiceDll');
DeleteFile('C:\Windows\System32\Debug.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\DeBuGjrq\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Ох вирусы так и полезли после скрипта.....вижу экзешники в темпе и в корне на диске C.
Карантин выслал...сча сделаю логи..........
По моему ситуация ухудшаеться......spider после перезагрузок постоянно ловит dll в system32 пачками))) Вот все логи!
И еще))
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\tuqrm.exe
c:\windows\system32\waibapsclib.dll
c:\windows\system32\waeuapsclib.dll
c:\windows\system32\waetapsclib.dll
c:\windows\system32\ctsrv.#xe
c:\windows\system32\waepapsclib.dll
c:\windows\system32\waepaprnlib.dll
c:\windows\system32\cokrh2.#ll
c:\windows\system32\cokrh1.#ll
c:\windows\system32\cokrhh.#ll
c:\windows\system32\waeoapsclib.dll
c:\windows\system32\waenapsclib.dll
c:\windows\system32\waemaprnlib.dll
Driver::
WaelSvc
WaemSvc
WaenSvc
WaeoSvc
cokrhh
cokrh1
cokrh2
WaepSvc
WaeqSvc
WaerSvc
WaesSvc
WaetSvc
WaeuSvc
WaibSvc
DeBuGjrq
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaelSvc"=-
"WaemSvc"=-
"WaenSvc"=-
"WaeoSvc"=-
"cokrhh"=-
"cokrh1"=-
"cokrh2"=-
"WaepSvc"=-
"WaeqSvc"=-
"WaerSvc"=-
"WaesSvc"=-
"WaetSvc"=-
"WaeuSvc"=-
"WaibSvc"=-
NetSvc::
DeBuGjrq
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url][code]Заражённые процессы в памяти:
c:\WINDOWS\cfdrive32.exe (Trojan.LVBP) -> 3692 -> No action taken.
c:\WINDOWS\cfdrive32.exe (Trojan.LVBP) -> 3644 -> No action taken.
c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> 1172 -> No action taken.
c:\WINDOWS\system32\tuqrm.exe (Worm.Palevo) -> 2276 -> No action taken.
Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\FuckYou (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_MD_SERVICESB1 (Backdoor.Bot) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Backdoor.Bot) -> Value: MSODESNV7 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Bad: (C:\RECYCLER\S-1-5-21-8369576832-0835461191-116873311-5580\syscr.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\User\Application Data\oekx.exe,C:\RECYCLER\S-1-5-21-2838977293-1465528416-639615995-7443\winmap.exe,explorer.exe,C:\Temp\202.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\WINDOWS\cfdrive32.exe (Trojan.LVBP) -> No action taken.
c:\RECYCLER\s-1-5-21-8369576832-0835461191-116873311-5580\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2516379816-0544277458-453581732-1956\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe (Backdoor.Bot) -> No action taken.
c:\RECYCLER\s-1-5-21-5002760767-4724529432-306338699-0784\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1667681270-6913820623-617370926-3214\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-7392101617-8345053989-566565081-3836\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1667499963-4328217606-606495709-2722\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-8945552487-5653678475-326842036-1892\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-5766862215-8399272225-907251168-9286\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-7672517772-2674821583-078418533-4426\winmap.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-9980506124-3602090761-651421136-4382\syscr.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-2838977293-1465528416-639615995-7443\winmap.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\16.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\41.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ctsrv.#xe (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waelapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waepaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waemaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waemapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waepapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waeqaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waeraprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waerapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waesaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waesapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waetaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waetapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waeuapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waibapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waeoaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waeoapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waenaprnlib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\waenapsclib.dll (Malware.Packer) -> No action taken.
c:\WINDOWS\system32\BD23DF\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\BD23DF\HtmlView.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\BD23DF\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\BD23DF\eAPI.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\BD23DF\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\BD23DF\cnvpe.fne (Worm.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SN0VCTG7\ramad[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SN0VCTG7\vcco[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4LU3WDM3\vcco[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\HHFK806X\vcco[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\Q9SBUDWF\A12[1].exe (Malware.Packer) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\Q9SBUDWF\A12[2].exe (Malware.Packer) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\WDWZ6VUV\A99[1].exe (Malware.Packer) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\VZ5F75CW\install[1].48596.exe (Trojan.FraudPack) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\ITRWHKZI\install[1].48767.exe (Trojan.FraudPack) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\DWW3HT0P\install[1].48767.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\DWW3HT0P\install[1].48596.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\KPO5AJOX\meinsummer20019[1].cq (Trojan.LVBP) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\V35FJ9GW\mnbvcd[1].o0 (Trojan.Agent) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\ZFI3C39U\ewhjewm[1].wx (Trojan.Agent) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\TTCANFD1\msfuewg[1]._ (Trojan.LVBP) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\X9D23Z12\thenadioscbwh[1]._ (Trojan.Agent) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\WHY30LIV\mnbvcd[1].o0 (Trojan.Agent) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\2YVFXWR3\mnbvcd[1].o0 (Trojan.Agent) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\2YVFXWR3\psjefwbh[1]._ (Backdoor.Bot) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\2YVFXWR3\meinsummer20019[1].cq (Trojan.LVBP) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\63WZTQB2\trantonti[1].tn (Worm.Joleee) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\63WZTQB2\olyhtgarwe[1].kfc (Trojan.LVBP) -> No action taken.
c:\documents and settings\User\local settings\temporary internet files\Content.IE5\MF1C197B\mp9gm0pndi8z[1] (Malware.Packer) -> No action taken.
c:\documents and settings\User\application data\oekx.exe (Trojan.Agent) -> No action taken.
c:\Temp\202.exe (Trojan.Agent) -> No action taken.
c:\Temp\2902089.exe (Trojan.LVBP) -> No action taken.
c:\Temp\5418917.exe (Trojan.LVBP) -> No action taken.
c:\Temp\788.exe (Trojan.Agent) -> No action taken.
c:\Temp\0367.exe (Trojan.LVBP) -> No action taken.
c:\Temp\752.exe (Trojan.Agent) -> No action taken.
c:\Temp\391.exe (Trojan.Agent) -> No action taken.
c:\Temp\3369104.exe (Trojan.LVBP) -> No action taken.
e:\avz4\quarantine\2010-12-13\avz00002.dta (Trojan.Agent) -> No action taken.
e:\avz4\quarantine\2010-12-13\avz00003.dta (Rootkit.Agent) -> No action taken.
e:\avz4\quarantine\2010-12-13\avz00004.dta (Malware.Packer) -> No action taken.
c:\documents and settings\User\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\tuqrm.exe (Worm.Palevo) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.[/code]
[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Сделайте новый лог МВАМ
Вот новый отчет [B]ComboFix.txt[/B]
[B]Сейчас буду мучать MBAM[/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\application data\\ltzqai.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.16802, BitDefender: Trojan.Generic.KDV.87961, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\debug.dll - [B]Trojan-GameThief.Win32.Magania.ehsd[/B] ( DrWEB: Trojan.PWS.Stealer.360, BitDefender: Gen:Variant.Graftor.580, AVAST4: Win32:Dialer-BMN [Trj] )[*] c:\\windows\\system32\\tuqrm.exe - [B]Backdoor.Win32.IRCBot.rkx[/B] ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\waibaprnlib.dll - [B]Net-Worm.Win32.Kolab.osq[/B] ( DrWEB: Trojan.MulDrop1.56924, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-YG [Trj] )[/LIST][/LIST]