Заблокирован IE

Printable View

12.01.2010, 21:59
SkY86

Вложений: 4

Заблокирован IE

Добрый вечер!!!
Заблокирован IE
вот логи....
12.01.2010, 22:42
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2395658132-6485629718-230707892-5422\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('c:\windows\jjdrive32.exe','');
QuarantineFile('c:\windows\system32\drivers\czhrf.exe','');
TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe');
DeleteFile('c:\windows\system32\drivers\czhrf.exe');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
DeleteFile('C:\RECYCLER\S-1-5-21-2395658132-6485629718-230707892-5422\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
13.01.2010, 00:04
SkY86

Вложений: 4

вот логи...
13.01.2010, 00:26
Шапельский Александр

Когда делали лог Gmer после быстрого сканирования, кнопку Scan нажимали? Если нет, переделайте лог Gmer

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lcacc.exe','');
DeleteFile('C:\WINDOWS\system32\lcacc.exe');
QuarantineFile('C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\SRVTIJDT\nemexp[1].exe','');
DeleteFile('C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\SRVTIJDT\nemexp[1].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
Executerepair(3);
Executerepair(4);
Executerepair(6);
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
13.01.2010, 01:53
SkY86

логи
13.01.2010, 11:30
Шапельский Александр

В логах чисто, что с проблемой?
13.01.2010, 19:07
SkY86

нечего не изменилось((
wmfcgr.exe в папке system volume information восстанавливается так же и создает папки восстанавления системы(хотя оно отключено):sad:
13.01.2010, 19:59
Шапельский Александр

Сделайте комплект логов, + лог MBAM
13.01.2010, 21:03
SkY86

вот логи
13.01.2010, 22:13
Шапельский Александр

Выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\игры\спектро\NFOviewer.exe','');
QuarantineFile('D:\игры\спектро\Spectromancer.exe','');
QuarantineFile('D:\игры\спектро\Uninstall.exe ','');
QuarantineFile('D:\radmin\RADMIN22.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Удалить в MBAM
[CODE]Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows data serivce (Malware.Trace) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено файлов:
C:\Documents and Settings\big\DoctorWeb\Quarantine\RADMIN22.EXE (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BM4UVIT5\61[1].exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BM4UVIT5\61[2].exe (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-5901219830-2035016720-307100258-4726\wmfcgr.exe (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-6221897058-2081440744-695444605-5879\wmfcgr.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\06.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\msd.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\13.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\23.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\27.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\28.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\36.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\41.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\50.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\56.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\68.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\82.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\83.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\85.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\88.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\12.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\nigzss.txt (Malware.Trace) -> No action taken
[/CODE]Сделайте новый лог MBAM
13.01.2010, 23:19
SkY86

вот логи
13.01.2010, 23:22
SkY86

заметил одну вещь, что после чистки при запускание IE все файлы появляются заново
13.01.2010, 23:36
Шапельский Александр

Пофиксить в Hijack следующие строки:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\gf.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Удалите в MBAM
[CODE]Заражено процессов в памяти:
C:\WINDOWS\livemessn.exe (Backdoor.Bot) -> No action taken.

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows data serivce (Malware.Trace) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:
C:\WINDOWS\livemessn.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RYMW1ALF\unew[1] (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YQG2CUAY\2krn[1].bin (Trojan.Zbot) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.Zbot) -> No action taken.
C:\WINDOWS\system32\45.scr (Backdoor.Bot) -> No action taken.
C:\WINDOWS\Temp\tmp2.tmp (Trojan.Zbot) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
[/CODE]
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новые логи
14.01.2010, 00:24
SkY86

в корне диска C:\[FONT=Lucida Sans Unicode]x5p2a1x8j5w6.exe создается этот файл[/FONT]
[FONT=Lucida Sans Unicode]его выслать вам?[/FONT]
щас выложу новые логи
14.01.2010, 00:28
SkY86

вот логи
карантин выслал
14.01.2010, 01:09
Шапельский Александр

Выпоните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\CzhrF.exe','');
QuarantineFile('C:\WINDOWS\system32\gf.exe','');
QuarantineFile('c:\windows\gf.exe','');
TerminateProcessByName('c:\windows\gf.exe');
QuarantineFile('c:\windows\system32\drivers\czhrf.exe','');
TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6BCX8FO9\61[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6BCX8FO9\61[1].exe');
DeleteFile('c:\windows\system32\drivers\czhrf.exe');
DeleteFile('c:\windows\gf.exe');
DeleteFile('C:\WINDOWS\system32\gf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
DeleteFile('C:\WINDOWS\system32\drivers\CzhrF.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
14.01.2010, 14:09
SkY86

Вложений: 5

вот логи
14.01.2010, 14:57
Шапельский Александр

Отключите ПК от интернета/локалки. Удалите в MBAM
[CODE]Заражено процессов в памяти:
C:\WINDOWS\system32\wshost32.exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\jjdrive32.exe (Backdoor.Bot) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wshost32 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft update setup (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.Autorun.B) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\wshost32.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\jjdrive32.exe (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temp\123.exe (Worm.Kolab) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temp\401.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temp\428.exe (Worm.Pavelo) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\expallmain[1].exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\nemexp[1].exe (Trojan.Buzus) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\pr3xy[1].exe (Worm.Pavelo) -> No action taken.
C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\vs8[1].exe (Worm.Kolab) -> No action taken.
C:\RECYCLER\S-1-5-21-3911956867-6398659803-842538812-1646\wmfcgr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
[/CODE]
Просканируйте ПК AVPTool и Куреит (др.Веб)
Установите ИЕ v8.00 +последние обновления на ОС
Сделайте комплект логов.
15.01.2010, 09:22
SkY86

проверил всеми этими утилитами. AVP определил все эксзешники на компе как стартеры вируса и разумеется убил их. Переустановил винду и антивирусы нечего не нашли. Только выдается ошибка Svhost.exe при 3 SP. Одним словом ужас а не вирус:biggrin:
15.01.2010, 09:36
Шапельский Александр

[QUOTE=SkY86;560954]проверил всеми этими утилитами. AVP определил все эксзешники на компе как стартеры вируса и разумеется убил их. Переустановил винду и антивирусы нечего не нашли. Только выдается ошибка Svhost.exe при 3 SP. Одним словом ужас а не вирус:biggrin:[/QUOTE]
Вирус "прошелся" по экзешникам. По поводу ошибки Svhost.exe... Сделайте логи, может что-то осталось, надо проверить.
15.01.2010, 18:46
SkY86

после работы на компьютеры, день в интернете, все началось заново((((
Щас вышлю логи
15.01.2010, 19:16
SkY86

логи
15.01.2010, 20:14
Шапельский Александр

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CDA341IN\61[1].exe','');
QuarantineFile('C:\WINDOWS\system32\lcacc.exe','');
QuarantineFile('C:\WINDOWS\system32\nigzss.txt','');
QuarantineFile('C:\Documents and Settings\Big\nigzss.txt ','');
QuarantineFile('C:\WINDOWS\system32\37.exe','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3038976855-0324483695-076827028-0179\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3038976855-0324483695-076827028-0179\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFilemask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFile('C:\WINDOWS\system32\lcacc.exe');
DeleteFile('C:\WINDOWS\system32\nigzss.txt');
DeleteFile('C:\Documents and Settings\Big\nigzss.txt');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению. Сделайте лог MBAM
15.01.2010, 22:35
SkY86

логи
16.01.2010, 00:29
Шапельский Александр

Просканируйте ПК MBAM и удалите все что он найдет. Сделайте новый лог virusinfo_syscheck.zip и MBAM
16.01.2010, 16:23
SkY86

лог
16.01.2010, 17:37
Шапельский Александр

В логе чисто, что с проблемой?
16.01.2010, 18:09
SkY86

тьфу тьфу вроде все чисто

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

если все вернется, в эту тему писать или новую создать?
17.01.2010, 18:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\big\local settings\temporary internet files\content.ie5\srvtijdt\nemexp[1].exe - [B]Trojan.Win32.Buzus.crty[/B] ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2959658, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\6bcx8fo9\61[1].exe - [B]P2P-Worm.Win32.Palevo.npl[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )[*] c:\recycler\s-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.npl[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )[*] c:\windows\system32\lcacc.exe - [B]Trojan.Win32.Agent.dfqg[/B] ( DrWEB: BackDoor.IRC.Sdbot.6696, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\lcacc.exe - [B]Trojan.Win32.Refroso.agsv[/B] ( BitDefender: Trojan.Generic.2968127, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\31.exe - [B]P2P-Worm.Win32.Palevo.npl[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )[/LIST][/LIST]