Printable View
Система Windows7 x64
Стоит AVG Free Edition и он постоянно ругается на вирусы в C:\Windows\System32\iSql\ и c:\Rtsecar.exe причем ещё и падает при его удалении. Почистил машину CureIt-ом и высылаю логи.
И ещё AVZ как оглашенный ругаеся на всё что видит User mode rootkit!
Заранее спасибо за помощь.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Скачал, запустил, логи кладу.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\iaim.exe
c:\windows\system32\weoe.exe
c:\windows\system32\birfmq.exe
c:\windows\system32\tjsg.exe
c:\windows\system32\yciyka.exe
c:\windows\system32\myiegw.exe
c:\windows\system32\yciyka.exe
c:\windows\system32\froe.exe
c:\windows\system32\agyaku.exe
c:\windows\system32\mwimkc.exe
Driver::
asdmin
der
grft
hacking58
kJSwpGGG
MKhxUmwz
NaTzPEjE
srgr
txstx
vrs
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Сделал. Но в этот раз не было в корне (если сын не ошибается - вечером доберусь проверю).
Файл лежал в c:\ComboFix\ComboFix.txt
И что то он маленький. AVG ему мешает - вчера снес, прогнал и опять поставил. Сегодня перед прогоном снёс, но не перезагружался.
Вечером попробую после перезагрузки прогнать скрипт.
лог оборваный получился, выполните скрипт еще раз и получившийся лог прикрепите к сообщению
Перезапустил. Теперь лог больше. + c:\ComboFix.rar рядом лежит.
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\mmksgq.exe
c:\program files\wakuak.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
А также
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\program files\Internet Explorer\Antizhmez.scr','');
QuarantineFile('c:\windows\SysWow64\Woishdiha.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[QUOTE=polword;754775]
[/QUOTE]
Приложил
[QUOTE=thyrex;754807]А также
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\program files\Internet Explorer\Antizhmez.scr','');
QuarantineFile('c:\windows\SysWow64\Woishdiha.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]
Карантин на сегодня пустой. Видимо этих 2х гадов кто то уже прибил.
Высылаю ещё раз логи AVZ и HiJackThis
Что с проблемой?
[QUOTE=thyrex;754828]Что с проблемой?[/QUOTE]
c:\Rtsecar.exe с последней перезагрузки не появляется. Сейчас поставлю AVG и попробую жить с ним. Посмотрим насчет C:\Windows\System32\iSql\ ов.
Всё опять вернулось. Сейчас сделаю логи AVZ и ComboFix.
Вот логи.
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\Program Files\mmksgq.exe','');
QuarantineFile('C:\Program Files\wakuak.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Antizhmez.scr','');
QuarantineFile('C:\Program Files\Microsoft Explorer\lsass.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Закачал. Правда там только 'C:\Program Files\Microsoft Explorer\lsass.exe' был в карантине.
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\mmksgq.exe
c:\program files\wakuak.exe
C:\Program Files\Internet Explorer\Antizhmez.scr
C:\Program Files\Microsoft Explorer\lsass.exe
Driver::
Alerter Microsoft Reader
MediaChedze
WMMNetworkKtx
WMMNetworkUxi
Folder::
C:\Windows\System32\iSql
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Сделал
Поищите файл, запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке
[QUOTE]c:\program files\Internet Explorer\Antihhhee.scr [2011-01-16 215510][/QUOTE]
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\DRIVERS\eamonm.sys
c:\program files\Internet Explorer\Antihhhee.scr
c:\windows\system32\tdcg.exe
c:\program files\eqoyuy.exe
Driver::
WMMNetworkEbn
wmasds
MediaCrzkmw
eamonm
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.