Через анонимайзер: лог не мог прикрепить тут...[url]http://webfile.ru/4689995[/url]
Printable View
Через анонимайзер: лог не мог прикрепить тут...[url]http://webfile.ru/4689995[/url]
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\ymojiti.dll
Driver::
zzrsucheh
kbnrfcrm
lgntn
vsgzsykra
vqzmygfu
hiifckcx
NetSvc::
zzrsucheh
kbnrfcrm
lgntn
vsgzsykra
vqzmygfu
hiifckcx
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1130:TCP"=-
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
новый отчет
В логе чисто. Понаблюдайте за проблемой.
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
после чистки комбофих, всё равно лезли cfdrive32.exe и msvmiode syscr.exe и гмер опять нашел руткит с рандомным названием.
но я прогнал проверку через все программы в обычном и безопасном режиме, какие скачивал здесь.
Вычистил все службы, ключи реестра, всё что посчитал подозрительным, не беспокоясь на работоспособность винды(так устал боротся если что б переустановил).
Удалил всё что они нашли
Сделал sfc
Удалил подозрительные по названию dll
Теперь все логи чисто.
Перезагрузился несколько раз
и полазил по инету и снова всё проверил
всё нормально.
Осталось только:
Где то я напортачил, у меня теперь где выбор режима безопасной загрузки иероглифы вместо русского языка и в cmd вместо русского иероглифы- не могли бы вы помочь исправить
[QUOTE='sentinel.dm;696656']у меня теперь где выбор режима безопасной загрузки иероглифы вместо русского языка и в cmd вместо русского иероглифы- не могли бы вы помочь исправить[/QUOTE]В реестре нужно найти раздел [CODE][HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe][/CODE] и изменить параметр [B]"CodePage"=dword:00000362[/B]
Спасибо за помощь. Тему можно закрывать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\dima\\application data\\ltzqai.exe - [B]Trojan.Win32.Agent2.cves[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Agent.AQMN, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\s-1-5-21-2553991060-5654258061-944480425-7470\\syscr.exe - [B]Trojan.Win32.Agent2.cves[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.333936, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[*] c:\\temp\\507.exe - [B]Trojan.Win32.Agent2.loa[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5248473, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\msvmiode.exe - [B]Email-Worm.Win32.Joleee.fee[/B] ( DrWEB: Trojan.DownLoader1.18438, BitDefender: Trojan.Agent.AQND, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Flot-U [Wrm] )[*] c:\\windows\\system32\\msvmiode.exe - [B]Trojan.Win32.Scar.cpyb[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4655847, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Flot-U [Wrm] )[*] c:\\windows\\system32\\ymojiti.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.X worm, AVAST4: Win32:Confi [Wrm] )[*] c:\\windows\\system32\\53.exe - [B]Trojan.Win32.Agent2.cves[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.333936, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[*] d:\\гис\\autorun.exe - [B]Trojan-Spy.Win32.Goldun.dub[/B] ( BitDefender: Spyware.11756, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]