-
[B]thyrex[/B] скрипт выполнил, лог выкладываю. В папке временных файлов появляются и быстро пропадают файлы (tmp.version.txt;tmp.appcompat.txt;tmp.hdmp).Файлов очень много, названия разные(WER7569;WERCD6D; и т.д.). Появляются в начале того как загузилась ОС и продолжается все это без прерывно. Могу приложить эти файлы или зделать скрины(если надо).[U]После скрипта это прикратилось[/U]. А этого зловреда я уже удалял.(появился вновь). И в папке временных файлов инета 11 [B]А027.ехе[/B] куча папок(одни пустые,другие с [B]ехе[/B])в sys32.
-
В логе плохого не увидел
[URL="http://virusinfo.info/showthread.php?t=10025"]Удалите мусор[/URL]
-
[B]народ[/B]! [U]скажите что делать?[/U] сегодня после удаления вирусов [B]корзина [/B]стала [B]Intnternet Explorer [/B]и открывает [B]IE.[/B] В свойствах системы при открытие оборудование и т.д. пишет [B]c:\windows\\system32\\devmgmt.msc[/B] или [B]systempropertiesadvanced[/B]. Как все вернуть? И еще. В [B]c:\windows32[/B] куча папок с файлом [B]А023.ехе[/B]. Ни [B]Веб[/B] ни [B]Каспер[/B] их не видят.Чем грохнуть. И даст что-нибудь (тупо) удаление временных файлов инета [B]IE [/B]( там тоже всего хватает)
-
[QUOTE=VlaDos;521314]после удаления вирусов [B]корзина [/B]стала [B]Intnternet Explorer [/B]и открывает IE[/QUOTE][url]http://virusinfo.info/showthread.php?t=30250[/url]
[QUOTE]В свойствах системы при открытие оборудование и т.д. пишет [B]c:\windows\\system32\\devmgmt.msc[/QUOTE]
[url]http://support.microsoft.com/kb/914231/en-us[/url]
[QUOTE=VlaDos;521314]
В [B]c:\windows32[/B] куча папок с файлом [B]А023.ехе[/B]. Ни [B]Веб[/B] ни [B]Каспер[/B] их не видят.[/QUOTE]
Очевидно файловый мусор без вредных кодов. Поиск Виндовс, найти по маске и удалить.
-
[B]Rene-gad[/B] спасибо за ссылки и внимание. А можно по подробнее про [U]Поиск Виндовс, найти по маске и удалить.[/U].
[size="1"][color="#666686"][B][I]Добавлено через 1 час 22 минуты[/I][/B][/color][/size]
Rene-gad сделал с корзиной,как в описании. Появилась опять (IE). Профиксил, а результатов нет.
-
[QUOTE=VlaDos;521380]Профиксил, а результатов нет.[/QUOTE]Кого пофиксил?
-
Народ,обнаружил в папке c:\windows\system32\drivers\etc файл host.ics(Файл iCalendar) с таким содержимым (host_1) и файл lmhosts sam (host_2).
А сам файл host имеет такое содержание(host_3).На сколько я знаю, в хост должно быть 127.0.0.1 и все а тут....... Посмотрите плиззз, все ли здесь в норме.Проблема начатой темы осталась. Поставил после KAV, DrWeb. Нашел :
rgrevxx.exe c:\windows BackDoor.ClDdos.9
rmmftkc.dll c:\windows\system32 BackDoor.Siggen.138
rgrevxx.exe C:\Windows BackDoor.ClDdos.9
RdmgtnC.dll C:\Windows\System32 BackDoor.Siggen.138
RmmftkC.dll C:\Windows\System32 BackDoor.Siggen.138
RsmhtsC.dll C:\Windows\System32 BackDoor.Siggen.138
RtmktvC.dll C:\Windows\System32 BackDoor.Siggen.138
RzmuthC.dll C:\Windows\System32 BackDoor.Siggen.138
8000[1].exe C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E1H9IM78 Trojan.DownLoad.28073
Tmp13BA.tmp C:\Windows\Temp BackDoor.Darkshell.96
Tmp68C6.tmp C:\Windows\Temp Trojan.MulDrop.31437
Tmp80F8.tmp C:\Windows\Temp Trojan.DownLoad.50456
TmpB303.tmp C:\Windows\Temp Trojan.MulDrop.origin
smss.exe c:\windows\system32\msisrv-Trojan.Click.34240 Удален.
smss.exe c:\windows\system32\netactivator BackDoor.IRC.Sdbot.6670 Удален.
uidrunsrv.dll c:\windows\system32 Trojan.DownLoad1.10707 Удален.
yisy.exe c:\windows\system32 Trojan.DownLoad.50456 Удален.
C027.exe C:\Windows\System32\iIpc\Trojan.MulDrop.49541 Удален.
M001.exe C:\Windows\System32\iIpc\Trojan.DownLoad1.11769 Удален. Последгие 2-а опять сегодня появились. Скачал ProcessExplorer 11.33. При появление подключения процесса iexplore.exe начинаются тормоза. останавливаю или убиваю процесс, все нормализуется. Пользуюсь Оперой. Подключения идут даже если я просто подключен к сети.
-
Да и чуть не забыл. В корне С: появился док. t тхт. с таким содержимым:
[T]
T=C:\Windows\Sistem32\iIpc\M001.exe
О как.....
-
Сделал логи , [U]"найденные"[/U] не удалял(для полной ясности для вас):
-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\iIpc\M001.exe','');
DeleteFile('C:\Windows\System32\iIpc\M001.exe');
QuarantineFile('C:\Windows\System32\iIpc\E001.exe','');
DeleteFile('C:\Windows\System32\iIpc\E001.exe');
QuarantineFile('C:\Windows\System32\uidlogsrv.dll','');
DeleteFile('C:\Windows\System32\uidlogsrv.dll');
QuarantineFile('C:\Windows\system32\be74b5.dll','');
QuarantineFile('C:\Windows\system32\acpi24.sys','');
DeleteService('acpi24Drv');
QuarantineFile('C:\Windows\Atvxx.exe','');
DeleteService('vxx');
QuarantineFile('C:\Windows\sfevxx.exe','');
DeleteService('sfvxx');
QuarantineFile('C:\Windows\system32\lsaas.exe','');
DeleteService('Qvodmedia');
QuarantineFile('C:\Windows\system32\acpi24.exe','');
DeleteService('acpi24');
DeleteFile('C:\Windows\system32\acpi24.exe');
DeleteFile('C:\Windows\system32\lsaas.exe');
DeleteFile('C:\Windows\sfevxx.exe');
DeleteFile('C:\Windows\Atvxx.exe');
DeleteFile('C:\Windows\system32\acpi24.sys');
DeleteFile('C:\Windows\system32\be74b5.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\svchost.exe\Parameters','ServiceDll');
DeleteFileMask('C:\Windows\System32\iIpc', '*.*', true);
DeleteDirectory('C:\Windows\System32\iIpc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
-
[B]thyrex[/B] скрипт выполнил.В корне опять появился [B]t.ini [/B]фаил ([U][T] T=C:\Windows\Sistem32\iIpc\M001.exe[/U].Карантин загрузил,вот новые логи:
-
Именно S[B][SIZE="4"][COLOR="Red"]i[/COLOR][/SIZE][/B]stem32 или всё-таки S[B][COLOR="#ff0000"][SIZE="4"]y[/SIZE][/COLOR][/B]stem32?
-
[B]Rene-gad[/B], прошу прощения S[B]y[/B]stem32
-
Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
-
[B]thyrex[/B]. все сделал, [U]ComboFix[/U] создал [B]карантин[/B] вот лог:
-
[B]t.ini[/B] удаляли? Если нет, тогда сделайте это и проследите, будет ли он появляться
-
нет не удалял. сейчас удалю и понаблюдаю...
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
сейчас запустил Process Explorer,опять появилось несколько процессов подключения iexplore.exe. Убил процессы.
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 30 минут[/I][/B][/color][/size]
[B]ini [/B]файл вроде не появляется, но комп периодически притормаживает,а иногда просто подвисает. А как посмотреть, куда идут подключения процессов [U]iexplore.exe[/U]?
-
[B]Народ,[/B] при проверке [B]DrWeb[/B] находит [B]ComboFix[/B] и определяет его как ([U]возможно,BATCH.Virus[/U]). Что делать? И хотелось бы узнать будут какие-нибудь дальнейшие действия или нет?! Комп немного тупит([U]подвисает[/U] при открытие папок и зависает в проводнике)
-
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
-
[B]thyrex[/B], ERUNT и SDFix работают под Вистой?
-
[QUOTE='VlaDos;526997']ERUNT и SDFix работают под Вистой?[/QUOTE]Не знаю, не пользовался
-
[B]thyrex[/B],вопрос не по теме. Дайте если можно ссылку на ([U]Кака восстановить или обновить Explorer на Висте)[/U],только без переустановки ОС.
Проблема решена. Всем огромное [B]СПАСИБО[/B]. Никогда не думал, что бесплатная утилита([B]ComboFix[/B]) может сделать больше,чем "[U]Крутые[/U]" Антивирусы. Еще раз [B]СПС[/B]. [img]http://files.myopera.com/Creat0R/Opera_AC/Icons/Kolobki/clapping.gif[/img]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]8[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\progra~2\drm\ojbvp.dll - [B]Backdoor.Win32.Agent.andj[/B] ( DrWEB: BackDoor.Siggen.3787, BitDefender: Backdoor.Generic.228493 )[*] c:\windows\system32\be74b5.dll - [B]Backdoor.Win32.ZZSlash.bft[/B] ( BitDefender: Rootkit.28959, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\iipc\a023.exe - [B]Trojan-Downloader.Win32.FraudLoad.wwhv[/B] ( DrWEB: Trojan.MulDrop.47910, BitDefender: Trojan.Generic.2778243, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\iipc\c025.exe - [B]Trojan.Win32.Swisyn.qqy[/B] ( DrWEB: Trojan.Siggen.29803, BitDefender: Trojan.Generic.2798757, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\lsaas.exe - [B]HEUR:Trojan.Win32.Generic[/B][*] c:\windows\system32\uidrunsrv.dll - [B]Trojan-Downloader.Win32.FraudLoad.wwlx[/B] ( DrWEB: Trojan.DownLoad1.10707, BitDefender: DeepScan:Generic.Peed.9777D94A, NOD32: Win32/TrojanDownloader.Agent.PPY trojan, AVAST4: Win32:Tibs-ENJ [Trj] )[/LIST][/LIST]
Page generated in 0.00313 seconds with 10 queries