Новые логи и отчет
Printable View
Новые логи и отчет
Скачайте Combofix: [url]http://www.geekstogo.com/forum/Combofix-file197.html[/url] и сделайте очистку и лог: [url]http://www.bleepingcomputer.com/combofix/how-to-use-combofix[/url]
Пункт о консоли восстановления примите просто к сведению.
Если не поможет - придется сносить систему.
Сносил систему три раза форматировал диск,результат тот-же.Потом сканировал Avast в фоновом режиме и не мог удалить инфецированный файл,Avast выдовал ошибку.Потом решил обратится к вам.Сейчас скачаю Combofix
результат Combofix
вирусы прибывают в С\ dll32d.exe появился они всегда после перезагрузки появляются разные.
Новые логи
Avast находит руткиты трояны и удаляет их. Натыкается на OnlineGames-CAA не может его удалить ошибка 0хС0000043 даже после того как переустановлю винду и отформатирую диск С: Сейчас постоянно открывается окно какогото сайта <ear money buscar con google
Такое ощущение, что вы постаянно перезаражаетесь. Пролечитесь live CD от доктора [url]http://virusinfo.info/showthread.php?t=15927[/url]
потом не втыкая флешки, не включая интернет выполните скрипт, после - сделайте новые логи, установите все патчи.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('yumopmvi');
DeleteService('wycnrukb');
DeleteService('wwtevtxk');
DeleteService('vfhvtwkb');
DeleteService('vefvtokd');
DeleteService('telfmlaa');
DeleteService('spivzbje');
DeleteService('jalcwlzh');
DeleteService('hkvldygo');
DeleteService('cwvhwknw');
DeleteService('bqykvlvu');
DeleteService('akjztryc');
DeleteService('aewzaadb');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\drivers\uutahvgt.sys','');
QuarantineFile('c:\windows\system32\cscui.dll','');
DeleteFile('c:\windows\system32\22.scr');
DeleteFile('c:\windows\system32\83.scr');
DeleteFile('c:\windows\system32\45.scr');
DeleteFile('c:\windows\system32\41.scr');
DeleteFile('c:\windows\system32\02.scr');
DeleteFile('c:\windows\system32\16.scr');
DeleteFile('c:\windows\system32\37.scr');
DeleteFile('c:\windows\system32\76.scr');
DeleteFile('c:\windows\system32\48.scr');
DeleteFile('c:\windows\mslsrv.exe');
DeleteFile('c:\windows\system32\57.scr');
DeleteFile('c:\windows\system32\28.scr');
DeleteFile('c:\windows\system32\03.scr');
DeleteFile('c:\windows\system32\12.scr');
DeleteFile('c:\windows\system32\81.scr');
DeleteFile('c:\windows\nsreg.dat');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_7c1571a4.exe');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_225a1f24.exe');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_10d22696.exe');
DeleteFile('c:\windows\system32\drivers\54601050.sys');
DeleteFile('c:\windows\system32\drivers\aswFsBlk.sys');
DeleteFile('c:\windows\System32\Drivers\zondifuu.sys');
TerminateProcessByName('c:\windows\win7service.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\aewzaadb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\akjztryc.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bqykvlvu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\cwvhwknw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hkvldygo.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\jalcwlzh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\spivzbje.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\telfmlaa.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vefvtokd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vfhvtwkb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wwtevtxk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wycnrukb.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\yumopmvi.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-3870115716-6955661510-202539859-3924\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9729631832-7627857942-972105989-2097\mwau.exe');
DeleteFile('C:\System Volume Information\_restore{08FEC803-7D9B-4751-AA6B-6BD703A4E0DE}\RP1\A0000059.exe');
DeleteFile('C:\WINDOWS\system32\20.scr');
DeleteFile('C:\WINDOWS\system32\33.scr');
DeleteFile('C:\WINDOWS\system32\35.scr');
DeleteFile('C:\WINDOWS\system32\77.scr');
DeleteFile('C:\WINDOWS\system32\87.scr');
DeleteFile('c:\windows\logfile32.txt');
DeleteFile('c:\windows\mcdrive32.exe');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('c:\windows\system32\drivers\LBTWiz.exe');
DeleteFile('c:\windows\system32\i');
DeleteFile('c:\windows\system32\msvcrt2.dll');
DeleteFile('c:\windows\system32\secupdat.dat');
SetAVZPMStatus(True);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин по правилам.
Сделал вроде бы все
[B][COLOR="Red"]Отключите восстановление системы[/COLOR][/B]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-9977290662-9927180453-299903443-7080\mwau.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0223389012-3395407254-963591198-1596\csvcs.exe');
DeleteFile('C:\System Volume Information\_restore{08FEC803-7D9B-4751-AA6B-6BD703A4E0DE}\RP1\A0000276.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
Новые логи
Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите обновления безопасности на Windows.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\w7services.exe','');
DeleteFile('C:\WINDOWS\w7services.exe');
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
лог
Файл virusinfo_cure.zip от 8 сентября не надо было присылать. Надо было создать новый файл с текущим содержимым карантина.
я понял отсылаю
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
извиняюсь за невнимательность
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]70[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe - [B]Email-Worm.Win32.BSpread.b[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )[*] c:\system volume information\_restore{08fec803-7d9b-4751-aa6b-6bd703a4e0de}\rp1\a0000276.scr - [B]Backdoor.Win32.SdBot.oqa[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Trojan.Generic.2418523, AVAST4: Win32:Trojan-gen )[*] c:\windows\win7service.exe - [B]Email-Worm.Win32.BSpread.b[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Application.Generic.198471, AVAST4: Win32:Crypt-EXW [Trj] )[*] c:\windows\win7service.exe - [B]Trojan-Downloader.Win32.Pher.v[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )[*] f:\autorun.inf - [B]Net-Worm.Win32.Kolab.dkv[/B] ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun virus, AVAST4: BV:AutoRun-X [Wrm] )[*] f:\recycler\s-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe - [B]Trojan-Downloader.Win32.Pher.v[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )[/LIST][/LIST]