вот, пожалуйста. карантин тоже отправил.
Printable View
вот, пожалуйста. карантин тоже отправил.
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
прилагаю лог
Сколько у Вас антивирусов?
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe - что за файл Вам известно?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\drivers\csabbfcc.sys
c:\dokumente und einstellungen\Administrator\fkrxsdt.exe
Driver::
csabbfcc
Folder::
Registry::
FileLook::
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, прикрепите ComboFix.txt к сообщению.
теперь уже ни одного антивируса. сначала был mcafee, потом по очереди устанавливал nod и avg, когда началась эта зараза. этот файл мне не известен, ничего хорошего, судя по всему.
лог от вашего скрипта прилагаю (консоль микрософта, которую комбо-фикс навязывает, ставить не обязательно для этих проверок?)
Следов McAfee в логах полно.
Установка консоли восстановления - дело и выбор пользователя.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\solury.exe
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe
Driver::
tesaauswzsyp3rso
yilbnu7nfkeyeo
Folder::
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\csabbfcc.sys]
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, прикрепите ComboFix.txt к сообщению.
вот свежий отчет
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [URL=" http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все новые заплатки
Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL]
этим все решится? и проблема с safe mode тоже?
а то, что и сейчас еще иногда всплывает сообщение generic host process win32 вызвал ошибку и будет завершен, и что через какое-то время интернет-соединение становится неактивным разве не указывает на проделки svchost?
может hijack лог сделать?
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
еще такой вопрос: на другои компе, через который произошло заражение, можно все ваши скрипты прогнать один к одному? правдо там винда так замедляется сразу после загрузки, что avz не запустишь. только если под досом файлы эти удалять...
Выполните скрипт в AVZ
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Проверьте безопасный режим
[QUOTE='d.schmitz;607271']а то, что и сейчас еще иногда всплывает сообщение generic host process win32 вызвал ошибку и будет завершен, и что через какое-то время интернет-соединение становится неактивным разве не указывает на проделки svchost?[/QUOTE]А вот для этого и рекомендовано обновить систему
[QUOTE='d.schmitz;607271']еще такой вопрос: на другои компе, через который произошло заражение, [/QUOTE]Выполните правила на другом компьютере и предоставьте логи, [B]но в отдельной теме[/B]
А удалять что-то вслепую не стоит
[QUOTE=thyrex;607280]
Выполните правила на другом компьютере и предоставьте логи, но в отдельной теме
А удалять что-то вслепую не стоит[/QUOTE]
а что можно сделать, чтобы на другом компьютере до выполнения логов дело вообще дошло, если на данный момент после загрузки винды процессы какие-то так съедают память, что вообще не рыпнуться? запуск проводника уже дело безнадежное. может поискать из дос в реестре на предмет, что там сейчас autorun и отключить хотя бы какую-то часть этой лажи? не напомните, как нызывается программка для скана и редактирования реестра системы под дос?
В безопасном режиме на втором компьютере проблема с замедлением остается?
безопасный режим не работает на нем в принципе: вылетает в синий экран и на перезагрузку.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 11 минут[/I][/B][/color][/size]
[QUOTE]Следов McAfee в логах полно.[/QUOTE]
там установка была прервана. может посоветуете, чем выкорчевать следы такого рода?
[QUOTE='d.schmitz;607574']может посоветуете, чем выкорчевать следы такого рода?[/QUOTE][url]http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe[/url]
спасибо, не знал, что есть их собственная утилита для этого.
а что касается другого компа, как подкопаться, если не работает безопасный режим?
А пролечиться с помощью Live CD не пробовали на том компьютере?
Опять же с помощью некоторых Live CD можно и в реестр заглянуть (например, ERD Commander)
Запустился ERD Commander 3in1 2009, я заглянул в autoruns и services, почему-то ничего избыточного там не нашел. откуда же сразу при загрузке винды берутся процессы, которые напрочь загружают систему?
c Boot CD DDD вроде запустился AVZ, сделал логи и выложил в теме [URL="http://virusinfo.info/showthread.php?t=74163"]http://virusinfo.info/showthread.php?t=74163[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]75[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe - [B]Backdoor.Win32.Agent.aqtx[/B] ( DrWEB: Trojan.MulDrop1.7137, BitDefender: Trojan.Agent.AOXV, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0044848.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0045858.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.eqz[/B] ( DrWEB: Trojan.Spambot.6597, BitDefender: Trojan.Spammer.Tedroo.CB, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0049079.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erm[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Dropper.Agent.UWE, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0050142.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0050143.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erm[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Dropper.Agent.UWE, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0055766.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0059883.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0059947.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\qtplugin.exe - [B]Backdoor.Win32.Agent.aqqp[/B] ( DrWEB: Trojan.PWS.Mailer, BitDefender: DeepScan:Generic.Malware.SFMHloe.9FDB5D5C, NOD32: Win32/DMSpammer.A trojan )[*] c:\windows\system32\qtwm.exe - [B]Backdoor.Win32.Delf.tkr[/B] ( DrWEB: BackDoor.Uncapch, BitDefender: Trojan.Generic.KD.2507, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wmicvrt.exe - [B]Trojan-Spy.Win32.Zbot.agvz[/B] ( DrWEB: BackDoor.IRC.Bot.257, BitDefender: Trojan.Agent.VB.BHU, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]