Printable View
Буквально вчера, с вашей помощью почистил комп., и сегодня опять приколы с вирусами... Захотел зайти на ваш сайт - но не тут та было )) браузер сам закрылся )) (остольные сайты с антивирусами тоже закрываются) кроме того закрываются все папки где находятся антивирусы или что то с ними связанное. (пишу с другого компа)
Сделал все что надо, кидаю вам...
[ATTACH]257632[/ATTACH]
[ATTACH]257633[/ATTACH]
[ATTACH]257634[/ATTACH]
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\Documents and Settings\USER\Local Settings\temp\vimsbls.exe','');
QuarantineFile('C:\Documents and Settings\USER\Local Settings\temp\vdsqwhjgscq.exe','');
QuarantineFile('C:\WINDOWS\system32\xyqkhfarqefxweupbieyw.exe','');
QuarantineFile('C:\WINDOWS\system32\vukcxtmbykjzwcqjtys.exe','');
QuarantineFile('C:\WINDOWS\system32\uqdskdtfzierlozp.exe','');
QuarantineFile('C:\WINDOWS\system32\kixoidvjfqodzerjsw.exe','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\kixoidvjfqodzerjsw.exe','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\iizsolfvtggxvcrlwcxq.exe .','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\iizsolfvtggxvcrlwcxq.exe','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\bymcvpgtoyvjeiult.exe .','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\bymcvpgtoyvjeiult.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\vimsbls.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\vimsbls.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\uqdskdtfzierlozp.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\uqdskdtfzierlozp.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\uqdskdtfzierlozp.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\vimsbls.exe');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\bymcvpgtoyvjeiult.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ukramzjpdg');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\bymcvpgtoyvjeiult.exe .');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','xikov');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\iizsolfvtggxvcrlwcxq.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','hqq');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\iizsolfvtggxvcrlwcxq.exe .');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bqwepbkpc');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\kixoidvjfqodzerjsw.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','oyzc');
DeleteFile('C:\WINDOWS\system32\kixoidvjfqodzerjsw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','xikov');
DeleteFile('C:\WINDOWS\system32\uqdskdtfzierlozp.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vimsbls');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','iuxckt');
DeleteFile('C:\WINDOWS\system32\vukcxtmbykjzwcqjtys.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','kydkufnr');
DeleteFile('C:\WINDOWS\system32\xyqkhfarqefxweupbieyw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oyzc');
DeleteFile('C:\Documents and Settings\USER\Local Settings\temp\vdsqwhjgscq.exe');
DeleteFile('C:\Documents and Settings\USER\Local Settings\temp\vimsbls.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=84600[/url]
4. Повторите логи.
ок, проблема устранена(архив скинул)...теперь что мне сделать чтобы эти вирусы не лезли больше ? они по идее не с нета, а с локальной сети лезут да ??
Сделайте повторные логи для контроля.
сканирую заного, опять какието твари есть ) щас логи скину...
вот новые логи
[ATTACH]257658[/ATTACH]
[ATTACH]257659[/ATTACH]
[ATTACH]257660[/ATTACH]
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\vimsbls.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc16.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc15.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc14.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc13.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc12.bat','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc11.bat','');
QuarantineFile('C:\pgoylzkrgkb.bat','');
QuarantineFile('C:\bqwepbkpc.bat','');
DeleteFile('C:\bqwepbkpc.bat');
DeleteFile('C:\pgoylzkrgkb.bat');
DeleteFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc11.bat');
DeleteFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc12.bat');
DeleteFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc13.bat');
DeleteFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc14.bat');
DeleteFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc15.bat');
DeleteFile('C:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dc16.bat');
DeleteFile('C:\WINDOWS\system32\kixoidvjfqodzerjsw.exe');
DeleteFile('C:\WINDOWS\system32\uqdskdtfzierlozp.exe');
DeleteFile('C:\WINDOWS\system32\vukcxtmbykjzwcqjtys.exe');
DeleteFile('C:\WINDOWS\system32\xyqkhfarqefxweupbieyw.exe');
DeleteFile('C:\vimsbls.bat');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('J:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=84600[/url]
4. Повторите лог [B]virusinfo_syscure.[/B]
сделал!
Карантин кинуть вам не удается "
[B]Ошибка загрузки. Данный файл уже был загружен[/B]
", перейменовал файл и тоже самое.
Сам архив весит 1кб, наверно пустой.
Это все ??
[QUOTE=druc_andrian;682272]Это все ??[/QUOTE]
Повторите лог [B]virusinfo_syscure.[/B]
ок щас, и Александра...что мне сделать чтобы больше вы меня не видели тут )) ?
НОД 32 поставить ? гдето есть крякнутый...
[ATTACH]257661[/ATTACH]
[ATTACH]257662[/ATTACH]
оба, на всякий случай
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\kixoidvjfqodzerjsw.exe');
BC_DeleteFile('C:\WINDOWS\system32\uqdskdtfzierlozp.exe');
BC_DeleteFile('C:\WINDOWS\system32\vukcxtmbykjzwcqjtys.exe');
BC_DeleteFile('C:\WINDOWS\system32\xyqkhfarqefxweupbieyw.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог [B]virusinfo_syscure.[/B]
Я до этого только на диске С: искал, блин...щас поставил и остальные на проверку, наверно будет долго...
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Ого что там творится ))
На диске Д у меня инсталы, програмы с ключами, а АВЗ я вижу нашел крэки как троян... не хочется мне их удалять ((
[ATTACH]257663[/ATTACH]
Вы будете вероятно удивлены...
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('J:\pgoylzkrgkb.bat','');
QuarantineFile('J:\bqwepbkpc.bat','');
QuarantineFile('J:\fg\fg.pif','');
QuarantineFile('J:\vimsbls.bat','');
QuarantineFile('G:\vimsbls.bat','');
QuarantineFile('G:\pgoylzkrgkb.bat','');
QuarantineFile('G:\bqwepbkpc.bat','');
QuarantineFile('F:\vimsbls.bat','');
QuarantineFile('F:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Df4.bat','');
QuarantineFile('F:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Df3.bat','');
QuarantineFile('F:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Df2.bat','');
QuarantineFile('F:\pgoylzkrgkb.bat','');
QuarantineFile('F:\bqwepbkpc.bat','');
QuarantineFile('D:\vimsbls.bat','');
QuarantineFile('D:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dd29.bat','');
QuarantineFile('D:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dd28.bat','');
QuarantineFile('D:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dd27.bat','');
QuarantineFile('D:\pgoylzkrgkb.bat','');
QuarantineFile('D:\bqwepbkpc.bat','');
DeleteFile('D:\bqwepbkpc.bat');
DeleteFile('D:\pgoylzkrgkb.bat');
DeleteFile('D:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dd27.bat');
DeleteFile('D:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dd28.bat');
DeleteFile('D:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Dd29.bat');
DeleteFile('D:\vimsbls.bat');
DeleteFile('F:\bqwepbkpc.bat');
DeleteFile('F:\pgoylzkrgkb.bat');
DeleteFile('F:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Df2.bat');
DeleteFile('F:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Df3.bat');
DeleteFile('F:\RECYCLER\S-1-5-21-1214440339-1604221776-682003330-1003\Df4.bat');
DeleteFile('F:\vimsbls.bat');
DeleteFile('G:\bqwepbkpc.bat');
DeleteFile('G:\pgoylzkrgkb.bat');
DeleteFile('G:\vimsbls.bat');
DeleteFile('J:\vimsbls.bat');
DeleteFile('J:\fg\fg.pif');
DeleteFile('J:\bqwepbkpc.bat');
DeleteFile('J:\pgoylzkrgkb.bat');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\kixoidvjfqodzerjsw.exe');
DeleteFile('C:\WINDOWS\system32\uqdskdtfzierlozp.exe');
DeleteFile('C:\WINDOWS\system32\vukcxtmbykjzwcqjtys.exe');
DeleteFile('C:\WINDOWS\system32\xyqkhfarqefxweupbieyw.exe');
DeleteFileMask('F:\RECYCLER', '*.*', true);
DeleteFileMask('D:\RECYCLER', '*.*', true);
QuarantineFileF('%system32%', '*.exe', false,'', 0, 0, '5.07.2010', '5.08.2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Логи AVZ повторите.
Файл сохранён как 100805_102255_quarantine2_4c5a58bf0c33b.zip
Размер файла 9327841
MD5 29e745298e5e66cd33b1ac6c25e2cc53
[ATTACH]257698[/ATTACH]
все, неисправностей больше нет...что дальше ?
Новый лог virusinfo_syscure.zip сделайте
Все Ваши беды из-за того, что система так и осталась необновленной с SP2. Побоялись обновить до SP3 из-за боязни потери активации. Система лицензионная?
Нет ) не лицензионная )
Так что мне обновить до SP3? ниче не будет ?