полный путь до файла xsvr85.exe напишите.
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Printable View
полный путь до файла xsvr85.exe напишите.
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Полный путь к двум подозрительным файлам:
C:\WINDOWS\system32\xsvr85.exe@
C:\WINDOWS\system32\xsvr18.exe@
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\sopasclib.dll
c:\windows\system32\sopasvstart.dll
C:\WINDOWS\system32\xsvr85.exe@
C:\WINDOWS\system32\xsvr18.exe@
c:\windows\system32\wayic.dll
c:\windows\system32\wayi.exe
c:\windows\system32\00YIZA37\E001.exe
C:\WINDOWS\system32\058OI1JM\A13.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XVT9XSNA\A13[1].exe
c:\windows\system32\sqlserv.exe
c:\windows\system32\xsvr85.zip
Driver::
vsd
SopSrv
SqlDebuger
Folder::
c:\windows\system32\1ETZ07WQ
c:\windows\system32\28NU55MB
c:\windows\system32\00YIZA37
c:\windows\system32\058OI1JM
c:\windows\system32\WH3GNP2R
c:\windows\system32\VRM05LZH
c:\windows\system32\O0PU8H04
c:\windows\system32\NQUXKZEN
c:\windows\system32\t
Registry::
FileLook::
c:\windows\system32\Sqldebug.exe
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Извините, что долго не отвечал, не было доступа к ПК. Отчет во вложении.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\Sqldebug.exe
Driver::
Folder::
c:\windows\system32\DYBXL32O
c:\windows\system32\G4VHGRSW
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"SopSrv"=-
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Отчёт добавил.
c:\windows\system32\gametower.exe - что за файл?
Не знаю.
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\gametower.exe','');
end. [/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Карантин выслал.
Файл в вирлабе. Ждем
В одном из карантинов был:
[B]Net-Worm.Win32.Kolab.jqi[/B]
[QUOTE=PavelA;677481]В одном из карантинов был:
[B]Net-Worm.Win32.Kolab.jqi[/B][/QUOTE]
Что мне с ним делать?
[QUOTE=Gabidz;677653]Что мне с ним делать?[/QUOTE]
ничего не сделаете. Его нет уже - удалили.
c:\windows\system32\gametower.exe - чистый
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
- Сделайте повторный лог hijackthis.log;
Лог добавил.
Плохого не видно
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Благодарю за помощь всех отозвавшихся!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sopasclib.dll - [B]Net-Worm.Win32.Kolab.joa[/B] ( DrWEB: Trojan.MulDrop1.39558, BitDefender: DeepScan:Generic.Malware.WX!.06D4662F, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\sopasvstart.dll - [B]Net-Worm.Win32.Kolab.jpj[/B] ( DrWEB: Trojan.MulDrop1.39579, BitDefender: DeepScan:Generic.Malware.WX!.EDADE49C, AVAST4: Win32:Kolab-DN [Wrm] )[*] \xsvr85.exe@ - [B]Net-Worm.Win32.Kolab.jqi[/B] ( DrWEB: BackDoor.IRC.Bot.538, BitDefender: Trojan.Generic.4498965, AVAST4: Win32:Rumous [Drp] )[/LIST][/LIST]