Висят процессы J001 и J002
После 10-15 мин работы в интернете выдает ошибку приложения J001,
затем J002. После этого невозможно работать в интернете, хотя соединение установлено.
Printable View
Висят процессы J001 и J002
После 10-15 мин работы в интернете выдает ошибку приложения J001,
затем J002. После этого невозможно работать в интернете, хотя соединение установлено.
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\0s8wdo6313\j002.exe');
TerminateProcessByName('c:\windows\system32\0s8wdo6313\j001.exe');
QuarantineFile('C:\WINDOWS\system32\z\B7879.exe','');
QuarantineFile('C:\WINDOWS\system32\gscaos.exe','');
QuarantineFile('c:\program files\jdk7.0\jdk.exe','');
QuarantineFile('c:\windows\system32\0s8wdo6313\j002.exe','');
QuarantineFile('c:\windows\system32\0s8wdo6313\j001.exe','');
SetServiceStart('csf', 4);
SetServiceStart('csecr', 4);
DeleteService('vsrfr');
DeleteService('QQ Music updates');
DeleteService('csf');
DeleteService('csecr');
DeleteFile('c:\windows\system32\0s8wdo6313\j001.exe');
DeleteFile('c:\windows\system32\0s8wdo6313\j002.exe');
DeleteFile('C:\WINDOWS\system32\gscaos.exe');
DeleteFile('C:\WINDOWS\system32\z\B7879.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
С помощью CureIt проверял в WinPE.
Ничего не показывает.
Вот логи + карантин
Как теперь обстоят дела? Плохого не вижу.
Спасибо, доктор. Все хорошо, я теперь здоров!
Кого попросить, чтобы добавили в Вашу смс-копилку Белоруссию?
Давайте еще для контроля сделаем лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL]
Вот лог Combo.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
Folder::
c:\windows\system32\PKLYSEG8OY
c:\windows\system32\O3Q9HVZSJJ
c:\windows\system32\NAY0SKO6ER
c:\windows\system32\JMSER6HA08
c:\windows\system32\F265LX8EA6
c:\windows\system32\E43YX8J8JR
c:\windows\system32\67AXS2CQAT
c:\windows\system32\41N7AG1CQW
c:\windows\system32\37A6UV70MJ
c:\windows\system32\3OHVPEFL0Z
c:\windows\system32\3SON18Q7YC
c:\windows\system32\37RZRUU0V3
c:\windows\system32\3BBJ5BUVA1
c:\windows\system32\33YL511KPL
c:\windows\system32\38VZL6RQM4
c:\windows\system32\3CFJ0NRL11
c:\windows\system32\3FMCCH17YF
c:\windows\system32\3VPN135ZW6
c:\windows\system32\3MZW06MFT6
c:\windows\system32\3PTVAD7R9Z
c:\windows\system32\3SZNM8HD7D
c:\windows\system32\3VTNWF2PN6
c:\windows\system32\3BWYL16HKX
c:\windows\system32\2RD2C9ZJZ9
c:\windows\system32\2U72MHKWE2
c:\windows\system32\26USSXKIOW
c:\windows\system32\2DVKFZFG13
c:\windows\system32\2SL22XTZH9
c:\windows\system32\2JVB10BEE9
c:\windows\system32\2NFWFIBAT7
c:\windows\system32\2I9QR2SL65
c:\windows\system32\2XMGDEGU4S
c:\windows\system32\2BZ6YP532E
c:\windows\system32\2EFC69061N
c:\windows\system32\2ST2RLOFZA
c:\windows\system32\1XQG7QEKVS
c:\windows\system32\1O0P6TVZTS
c:\windows\system32\15TL0OEBPO
c:\windows\system32\1WQ2W46H64
c:\windows\system32\1ZXU8ZG33H
c:\windows\system32\13HFMGGYIF
c:\windows\system32\16AEWN1AY8
c:\windows\system32\1XKNVQIQW8
c:\windows\system32\1F45SWHLR8
c:\windows\system32\0S8WDO6313
c:\windows\system32\0B57DHU7EO
c:\windows\system32\0R8I23Y0BF
c:\windows\system32\ZU2HCAJCR8
c:\windows\system32\ZLCQBD0RP8
c:\windows\system32\Z0F20Z4KMZ
c:\windows\system32\YCS7HGDIWP
c:\windows\system32\X1FOED6XND
c:\windows\system32\XHJZ3Y9PK4
c:\windows\system32\XXZ3V73RZG
c:\windows\system32\XRQJ1UF9VP
c:\windows\system32\XY33PJ0HQG
c:\windows\system32\XFX0JFJTNC
c:\windows\system32\XUNJ6EXB2I
c:\windows\system32\WXHIGLINIC
c:\windows\system32\WPHCJYEMFG
c:\windows\system32\UOALW3EH95
c:\windows\system32\TO301GLJ12
c:\windows\system32\SC0VU2YETM
c:\windows\system32\SRQEH1CX9S
c:\windows\system32\S6342C067F
c:\windows\system32\SW0KZSRBNV
c:\windows\system32\SV56JJGYO7
c:\windows\system32\RCBVE2PJ2M
c:\windows\system32\RRPLZDDS09
c:\windows\system32\RIM2WT5YGP
c:\windows\system32\RLSU8OFKE2
c:\windows\system32\ROMTIV0WUW
c:\windows\system32\RVC687BE67
c:\windows\system32\RB3PW5PXME
c:\windows\system32\RFNAANPS1C
c:\windows\system32\RAUWOUWDVU
c:\windows\system32\z
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Вот снова отчет ComboFix
[QUOTE]c:\windows\system32\temp2.bat
c:\windows\system32\tempc.bat[/QUOTE]Запакуйте файлы с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\google_guid.dat
c:\windows\system32\GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG_svr.dat
c:\windows\system32\hthlumnd_svr.dat
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Вот снова лог Combo
c:\windows\system32\userinit.exe проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите
[url]http://www.virustotal.com/ru/analisis/4b6b4b3fb92924da4a08774a27c4e5475932d945897796493ca85b0562a10125-1276771008[/url]
Выписываем
Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] и с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Отправил
Спасибо. Пока не пришел. Буду ждать
Сразу говорю - карантин большой. >5 метров.
Не важно. Проверьте, не вернулось ли оно обратно
Обратно ничего нет. Должно придти.