Printable View
Здравствуйте, сегодня переустановил систему. очень долго стали открываться страницы через некоторое время вообще не активны даже не обновляются.Нод32 вот, что пишет...
Файл С:\DOCUNE~1\Temp\BN4C.tmp
Вирус модифицированный Win32/Wifon.KT троян Событие произошло в файле модифицированном приложением. C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.
И так еще 3-4 раза вылазит и не чего с ними сделать нельзя
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\vmnat.exe','');
QuarantineFile('c:\documents and settings\lord^\lord^.exe','');
TerminateProcessByName('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\documents and settings\lord^\lord^.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=48690[/URL]
3. Повторите логи.
Нод 32 всё равно ругается на вирусы
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Пролечитесь от файловых вирусов: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Потом повторите логи.
C:\WINDOWS\Explorer.EXE - пришлите по правилам (Приложение 3)
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\vmnat.exe');
TerminateProcessByName('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\windows\vmnat.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Скрипт вроде бы помог Из за вируса не мог передавать не каких файлов... Но вот на диске C создаться постоянно файл loc
Свежие, но уже удаленные:
lord^.exe_ Trojan-Downloader.Win32.Agent.cgox
vmnat.exe_ Backdoor.Win32.SdBot.nhv
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
C:\WINDOWS\system\mrsvss.exe - пришлите вот этот файлик на проверку через каранин AVZ.
Карантин выслал... Скажите а при помощи vmnat.exe_ Backdoor.Win32.SdBot.nhv могла бы быть кража паролей?
Вот еще один нашелся:
mrsvss.exe - Backdoor.Win32.SdBot.nhv
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('MRSVSS Service');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Лог прислать.
Вот...
'C:\pac.exe' - это что знаете?
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\pac.exe','');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
DeleteFile('vmnat.exe');
DeleteFile('c:\windows\system\mrsvss.exe');
BC_DeleteFile('c:\windows\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Лог прислать.
Карантин загрузить.
Вирус по мойму... раньше этого не было сам восстанавливаться после удаления..
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрволл.[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('MRSVSS Service');
QuarantineFile('c:\windows\wmslives.exe','');
QuarantineFile('c:\windows\system\mrsvss.exe','');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('c:\windows\wmslives.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MRSVSS Service');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
вот...
[QUOTE=lordenas;422795]сегодня переустановил систему[/QUOTE]При переустановке системы нужно в оффлайне установить последний Сервис Пак, потом идти в сеть...
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Lord^\Local Settings\Temporary Internet Files\Content.IE5\W96N4XQJ\m[1].exe','');
QuarantineFile('C:\WINDOWS\system32\23.scr','');
QuarantineFile('C:\WINDOWS\tstray.exe','');
QuarantineFile('WMSLives.exe','');
DeleteFile('WMSLives.exe');
DeleteFile('C:\WINDOWS\tstray.exe');
DeleteFile('C:\WINDOWS\system32\23.scr');
DeleteFile('C:\Documents and Settings\Lord^\Local Settings\Temporary Internet Files\Content.IE5\W96N4XQJ\m[1].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Фаерфол у меня никогда не включен т.к vpn соединение если его включить не будет работать интернет
опять появилось в моём компьютере "Веб-папки"
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
В остальном чисто. Жалобы есть?
Вроде всё нормально. Всем большое спасибо за помощ!))
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com]обновления системы Windows[/URL] и используемых программ.
Извините, что создал новую тему. Сразу не догадался... НА диске С вирус pac. Качает файлы в папку temp в ней нод палит только 1... Ест очень много трафика вот логи проверте пожалуйста