Все работало нормально пару часов. потом полезло по новой. логи.
Printable View
Все работало нормально пару часов. потом полезло по новой. логи.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Заражённые процессы в памяти:
c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> 3908 -> Not selected for removal.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> Not selected for removal.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe) Good: () -> Not selected for removal.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> Not selected for removal.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Not selected for removal.
Заражённые файлы:
c:\fewxdx.exe (Backdoor.Bot) -> Not selected for removal.
c:\documents and settings\BuTcHeR\hddd.exe (Worm.Palevo) -> Not selected for removal.
c:\xdx.exe (Worm.Palevo) -> Not selected for removal.
c:\documents and settings\BuTcHeR\hdcd.exe (Worm.Palevo) -> Not selected for removal.
c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> Not selected for removal.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> Not selected for removal.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Worm.AutoRun) -> Not selected for removal.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Not selected for removal.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe (Worm.AutoRun.Gen) -> Not selected for removal.[/code]
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Сделал. Некоторые не удаляются. Проблема не решена. Лог.
[QUOTE=thyrex;785580]Установите все [URL="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/URL] для Windows[/QUOTE]
вот это сделайте
после установки все обновлений повторите лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
Обновление сделал. Проблема не решена.
Логи.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
QuarantineFile('C:\WINDOWS\system32\74.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\55.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
QuarantineFile('C:\WINDOWS\system32\45.exe','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\27.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\Documents and Settings\BuTcHeR\Application Data\Bqpepf.exe','');
QuarantineFile('c:\windows\ghdrive32.exe','');
TerminateProcessByName('c:\windows\ghdrive32.exe');
DeleteFile('c:\windows\ghdrive32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bqpepf');
DeleteFile('C:\Documents and Settings\BuTcHeR\Application Data\Bqpepf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]101[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\butcher\\bnet.exe - [B]Trojan-Proxy.Win32.Ranky.ju[/B] ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )[*] c:\\documents and settings\\butcher\\hdcd.exe - [B]Trojan.Win32.Menti.gery[/B] ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - [B]Trojan.Win32.Menti.gesb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Fakealert.25239, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:FakeAlert-AFK [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan.Win32.Menti.gery[/B] ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\ghdrive32.exe - [B]Trojan.Win32.Menti.gesa[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )[*] c:\\windows\\system32\\87.exe - [B]Trojan.Win32.Menti.gesa[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )[*] c:\\xdx.exe - [B]Trojan.Win32.Menti.gesb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Fakealert.25239, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:FakeAlert-AFK [Trj] )[*] c:\\xdx.exe - [B]Trojan.Win32.Pincav.bfdt[/B] ( DrWEB: Win32.HLLW.Autoruner.37980, BitDefender: Trojan.Generic.KD.202049, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Inject-AGC [Trj] )[/LIST][/LIST]