Всех с наступившим!Пришел на работу после праздников,а там:blink:
Printable View
Всех с наступившим!Пришел на работу после праздников,а там:blink:
Отключите [B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\30.exe','');
QuarantineFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\63.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\009.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\04557.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\1845865.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\185.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\244.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\2795.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\3340.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\3439.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\410.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\4732.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\503234.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\5246865.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\56492.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\7325493.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\76744.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\8186373.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\840.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\845733.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temporary Internet Files\Content.IE5\1GVUGUUG\7[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6074322078-7889961260-481664612-0795\csidrv.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001312.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001326.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001332.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001340.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001346.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001354.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0002354.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004695.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004696.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006698.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006699.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006700.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000227.exe','');
QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000228.exe','');
DeleteFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\30.exe');
DeleteFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\63.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\009.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\04557.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\1845865.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\185.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\244.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\2795.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\3340.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\3439.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\410.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\4732.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\503234.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\5246865.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\56492.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\7325493.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\76744.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\8186373.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\840.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\845733.exe');
DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temporary Internet Files\Content.IE5\1GVUGUUG\7[1].exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6074322078-7889961260-481664612-0795\csidrv.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001312.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001326.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001332.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001340.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001346.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001354.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0002354.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004695.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004696.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006698.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006699.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006700.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000227.exe');
DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000228.exe');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Application Data\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\РМ\Application Data\bowcav.exe,explorer.exe,C:\Documents and Settings\РМ\Application Data\ltzqai.exe','');
QuarantineFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc23.tmp','');
DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc23.tmp');
DeleteFile('C:\Documents and Settings\РМ\Application Data\bowcav.exe,explorer.exe,C:\Documents and Settings\РМ\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\РМ\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFileMask('C:\Documents and Settings\РМ\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
После обновления:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Логи
еще раз Отключите [B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] (если диск I -флешка-выполнять с подключеной флешкой)
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc214.tmp');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\myfolder\myfile.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
[QUOTE=polword;754070]
- Сделайте лог MBAM[/QUOTE]
+ такой лог еще
Логи
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые файлы:
c:\documents and settings\РМ\application data\bowcav.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\РМ\application data\ltzqai.exe (Trojan.Agent) -> No action taken.
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc2D.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc2D.tmp');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Логи
E:\autorun.inf - знаком?
Если нет, [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\autorun.inf ','');
DeleteFile('E:\autorun.inf ');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]
[size="1"][color="#666686"][B][I]Добавлено через -13 секунд[/I][/B][/color][/size]
E:\autorun.inf - знаком?
Если нет, [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\autorun.inf ','');
DeleteFile('E:\autorun.inf ');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]
Все тот же компьютер,не заходит в интернет
Внимание !!! База поcледний раз обновлялась 06.01.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]87[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\ggdrive32.exe - [B]Backdoor.Win32.IRCBot.rsl[/B] ( DrWEB: Trojan.DownLoader1.52915, BitDefender: Trojan.Generic.7567391, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\gwdrive32.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.104459, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]