Printable View
[QUOTE=polword;748008]карантин последний пришлите
выполните скрипт в combofix и прикрепите новый лог.
p.s.
если не обновите систему- зловреды скорее всего вернутся[/QUOTE]
Ok, все сделаю без замены winlogon'a. А есть ли возможность его скачать из интернета? Погуглил, но не нашел ничего.
PS. Извиняюсь, но архив quarantine.zip был уже загружен и форум не позволяет загрузить его заново, даже если поменять имя архива. Поэтому прикрепляю его к этому сообщению.
Мне хотелось бы увидеть логи AVZ. Диск загрузочный с системой той, что у Вас установлена имеется?
[QUOTE=миднайт;748016]Мне хотелось бы увидеть логи AVZ. Диск загрузочный с системой той, что у Вас установлена имеется?[/QUOTE]
Извиняюсь, не увидел сразу, что не прикрепились файлы.
Есть установочный диск, но точно не знаю, тот ли он. Вероятнее всего, это он и есть. Пытался найти на установочном диске winlogon через стандартный поиск - не вышло... =(
Подождите winlogon заменить, сначала проверьте его на [url]http://www.virustotal.com/[/url]
Ссылку на результат напишите.
[QUOTE='Cyber Wolf;748035'] Пытался найти на установочном диске winlogon через стандартный поиск[/QUOTE]
он там в архивном виде лежит, распаковывается командой expand (в ссылке указанной хелпером описано как это делать)
Жду логи AVZ.
[QUOTE=миднайт;748042]Подождите winlogon заменить, сначала проверьте его на [URL]http://www.virustotal.com/[/URL]
Ссылку на результат напишите.
он там в архивном виде лежит, распаковывается командой expand (в ссылке указанной хелпером описано как это делать)
Жду логи AVZ.[/QUOTE]
[url]http://www.virustotal.com/file-scan/report.html?id=af19c930f984cbd4cd7a5a16e74e4bd86c495b0376ce0a0faeab368e456a80a2-1292959961[/url] - ссылка на результат.
Логи прикреплял к одному из последних сообщений. К сожалению, логи AVZ не закачиваются через ссылку "Прислать запрошенный карантин", т.к. лог был уже отправлен ранее.
Прикреплю к этому сообщению
Логи AVZ нужно прикрепить к сообщению, а не загружать по ссылке "Прислать запрошенный карантин" :). А вот файлик winlogon.exe заархивируйте с паролем virus и пришлите по этой самой ссылке "Прислать запрошенный карантин".
[QUOTE=миднайт;748046]Логи AVZ нужно прикрепить к сообщению, а не загружать по ссылке "Прислать запрошенный карантин" :). А вот файлик winlogon.exe заархивируйте с паролем virus и пришлите по этой самой ссылке "Прислать запрошенный карантин".[/QUOTE]
Сделано =) Логи прикрепил к предыдущему сообщению.
Во мне вновь проснулась надежда на излечение )))
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\fewh.exe
c:\windows\system32\serivces.exe
c:\windows\system32\gbre.exe
c:\windows\system32\G6YHSYCF\F001.exe
c:\windows\system32\G6YHSYCF\E003.exe
Driver::
BSuWAcmv
err
NetSvc::
Folder::
c:\windows\system32\G6YHSYCF
c:\windows\system32\G6YHSYCF
c:\windows\system32\3NQ3FYCH
c:\documents and settings\BIG BAD WOLF\3281
c:\windows\system32\0DJZ1713
c:\documents and settings\BIG BAD WOLF\6199
c:\windows\system32\YITEMRCS
c:\windows\system32\XWVJI48D
c:\windows\system32\WBYOFI6Y
c:\windows\system32\V1LJMZ6G
c:\windows\system32\UR6EUH7X
c:\windows\system32\TUYS4DW1
c:\documents and settings\BIG BAD WOLF\2249
c:\windows\system32\fewh.exe
c:\windows\system32\OCJR64JH
c:\documents and settings\BIG BAD WOLF\5817
c:\windows\system32\N5UZ42FO
c:\windows\system32\N6FSWDZE
c:\windows\system32\MX1O3U0V
c:\windows\system32\LC4S07XH
c:\windows\system32\K23GACO7
c:\windows\system32\JH6L6PLT
c:\windows\system32\IKPZRYFH
c:\windows\system32\HN8EC685
c:\windows\system32\G6YHSYCF
c:\documents and settings\BIG BAD WOLF\6321
c:\documents and settings\BIG BAD WOLF\2002
c:\documents and settings\BIG BAD WOLF\10426
c:\documents and settings\BIG BAD WOLF\7939
c:\windows\system32\G6YHSYCF
c:\windows\system32\YITEMRCS
c:\windows\system32\XWVJI48D
c:\windows\system32\WBYOFI6Y
c:\windows\system32\V1LJMZ6G
c:\windows\system32\N6FSWDZE
c:\windows\system32\UR6EUH7X
c:\windows\system32\N5UZ42FO
c:\windows\system32\N6FSWDZE
c:\windows\system32\MX1O3U0V
c:\windows\system32\LC4S07XH
c:\windows\system32\K23GACO7
c:\windows\system32\JH6L6PLT
c:\windows\system32\IKPZRYFH
c:\windows\system32\HN8EC685
c:\windows\system32\G6YHSYCF
c:\windows\system32\G6YHSYCF
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Готово. Жду дальнейших указаний :rolleyes:
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\waifaprnlib.dll
c:\windows\system32\serivces.exe
c:\windows\system32\waigapsclib.dll
c:\windows\system32\waigaprnlib.dll
Driver::
PlugPlayCM
WaigSvc
NetSvc::
Folder::
Registry::
FileLook::
DirLook::
c:\documents and settings\BIG BAD WOLF\DoctorWeb
[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Готово :rolleyes:
C:\WINDOWS\system32\serivces.exe после перезагрузки ожил заново :sad:
polword, отправил Вам личное сообщение.
что находиться в папке c:\documents and settings\BIG BAD WOLF\DoctorWeb?
[QUOTE=polword;748077]что находиться в папке c:\documents and settings\BIG BAD WOLF\DoctorWeb?[/QUOTE]
Не могу знать, из DoctorWeb устанавливал только утилиту CureIt (согласно Правил форума) :huh:
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\serivces.exe
Driver::
NetSvc::
Folder::
c:\documents and settings\BIG BAD WOLF\DoctorWeb
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Сделано :rolleyes:
Сделайте fixmbr.
Это в помощь.
[url]http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/bootcons_fixmbr.mspx?mfr=true[/url]
[url]http://support.microsoft.com/kb/307654/ru[/url]
[url]http://support.microsoft.com/kb/314058/ru[/url]
Aleksandra, миднайт, все сделал.
При включении компьютера KIS информирует "обнаружено вредоносное по", но в целом ведет себя тихо. Как быть теперь? "Нейтрализовать угрозы" с помощью Касперского? Имеет ли смысл удаление всех созданных файлов и каталогов в процессе борьбы с вирусом? ($WIN_NT$.~BT; Qoobox; TDSSKiller.2.4.12.0_21.12.2010_19.38.52_log.txt и т.д.)
- сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
[QUOTE=polword;748179]- сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR=Blue][B]Combofix[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR=Blue]virusinfo_syscheck.zip[/COLOR];[/QUOTE]
Сделано, прилагаю к сообщению :rolleyes: