зараза с svchost

помогите, пожалуйста, в борьбе с заразой! сделал скан через avz по правилам, но сохранить лог по правилам ему уже не удается получилось только как txt. перекинулось с другого компа через сетку. каждый раз при загрузке компа ругается на ссылку на какой-нибудь левак в Administrator/Local Settings/Temp. типа A.exe или B.exe и т.п.на другом компе в принципе не запускается ни avz, ни hijack (переименованные) hijack вообще вылетает в синий экран через пару секунд после старта.

посоветуйте, как побороть эту заразу?

Сделайте логи [B]полиморфным[/B] AVZ (ссылка в подписи)

полиморфный avz завис за 25 секунд до предполагаемого окончания и висит уже полчаса над адресом windows\system32\drivers\etc. по видимому, довести до конца он скрипт "помогите с лечением/карантином" не сможет. есть еще какие-нибудь способы подкопаться?

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

запускал полиморфного avz (в обыкновенном режиме, safe mode не запускаетс€, синий экран мелькает и на перезагрузку), он что-то запихал в карантин, но в итоге за 11 секунд до окончани€ подвис на все том же system32/driver/etc. прилагаю соответствующий лог.

запуск combofix не помог, виснет безнадежно на stage_2. avenger руткитов не нашел. а вот gmer пошел, сканил 4-5 часов. лог прилагаю.

посмотрел autoruns.exe (пришлось сделать .сом, ехе вообще не запускаетс€), убрал галки напротив этих:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AutoStart c:\documents and settings\administrator\local settings\temp\tmp1298.exe
userini c:\windows\explorer.exe: userini.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
userini c:\windows\explorer.exe: userini.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
userini c:\windows\explorer.exe: userini.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
userini c:\windows\explorer.exe: userini.exe

правда последние два после новой загрузки по€вл€ютс€ снова.

HiJackit не идет ни под каким видом - выплевывает синий экран такого рода: STOP: 0x000000F4 (0x00000003, 0x82BCE410, 0x82BCE584, 0x805FA7A8) и сразу на перезагрузку.


что можно еще попробовать?

деинсталируйте аутпост ... и сделайте логи авз

[QUOTE=V_Bond;603970]деинсталируйте аутпост ... и сделайте логи авз[/QUOTE]
логи сделать через стандартный скрипт "помогите" с лечением/карантином?

Да. По правилам.

[QUOTE=V_Bond;603970]деинсталируйте аутпост ... и сделайте логи авз[/QUOTE]

удалил, но лог не может сделать вообще: подвисает на все том же system32/driver/etc.

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 23 минуты[/I][/B][/color][/size]

удивляюсь, может ли вирус быть настолько хитрым. но на зараженном компе не запускается ничего c этот домена. все остальные сайты без проблем

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 38 минут[/I][/B][/color][/size]

а дело не может быть в файлах в папке system32/drivers/etc? насколько я понял, файл hosts может быть проблемным. в папке system32/drivers/etc лежат hosts, hosts.ics, lmhosts.sam, networks, protocol и services. могут они смущать avz?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 20 минут[/I][/B][/color][/size]

mrak74, у меня лимит сообщений исчерпался. напишу пока хоть сюда:

[QUOTE=mrak74][QUOTE=d.schmitz][QUOTE=mrak74]А запинается сканирование любым сканером на одном и том же месте (на тех же самых файлах)....Я к тому что файл как правило на определенном секторе HDD записан. Может есть смысл HDD Regeneratorom прогнать или chkdsk попробовать[/QUOTE]

попробую. а дело не может быть в самих этих файлах? насколько я понял, файл hosts может быть проблемным. в папке system32/drivers/etc лежат hosts, hosts.ics, lmhosts.sam, networks, protocol и services. могут они смущать avz?[/QUOTE]

файл HOSTS встречается модифицированным вирусами, когда в нем прописаны сайты антивирусов, для того чтобы не было возможности зайти на них. Но случаев запинания при снятии логов AVZ кроме как при в ключенном другом антивирусе который мирно пропустил вирусы в систему, а потом при снятии логов AVZ встрепенулся и принял попытки удалить, в свою очередь AVZ "тянет одеяло к себе" вот и происходит стоп чтения на этом месте. Но насколько я помню вам уже рекомендовали снести Agnitum Outpost (на память, вроде он у вас стоял). Если снесли его и нет других антивирусов, скорее всего причина в HDD. А кстати какой размер файла Hosts у вас? Бывает разный, но умеренно отличаются размеры к примеру мой [url]http://narod.ru/disk/18118520000/hosts.html[/url] хоть и по обьему 371 кб модифицирован от вредоносных сайтов, считывается AVZ без проблем[/QUOTE]


эффект "встрепенулся" был пока я не отрубил avg. outpost я честно снес, сейчас для надежности выкорчевал совсем avg и nod32, который в принципк был отключен. попробую еще разик avz. мой hosts 4,75 MB. а что, его можно стянуть с другого компа один к одному? в autorun кстати нашел wrdr.kuo и qtwm.exe, что мне очень напоминает вот это: [url]http://virusinfo.info/showthread.php?t=73720[/url].

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

mrak74, спасибо. пойду по вашей ссылке почитаю про Hosts

УРА! удалось снять лог avz. прикрепляю.

Это был не лог.

пардон. вот теперь лог:

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\Dokumente und Einstellungen\Administrator\wnmyfqk.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
DeleteService('usbf27');
DeleteService('usbf25');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf25.sys','');
DeleteService('jhzzmaji');
QuarantineFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys','');
QuarantineFile('C:\WINDOWS\system32\wrdr.kuo','');
QuarantineFile('C:\WINDOWS\system32\qtwm.exe','');
QuarantineFile('c:\windows\system32\wmicvrt.exe','');
DeleteFile('c:\windows\system32\wmicvrt.exe');
DeleteFile('C:\WINDOWS\system32\qtwm.exe');
DeleteFile('C:\WINDOWS\system32\wrdr.kuo');
DeleteFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf25.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
DeleteFile('C:\Dokumente und Einstellungen\Administrator\wnmyfqk.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0044848.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0045858.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0049079.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0050142.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2DA13A0A-4CDB-4BDC-BBC8-C107AF5DF794}\RP217\A0050143.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
ExecuteRepair(16);
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

шлю карантин и логи. наблюдения: после выполнения скрипта и перезагрузки, ужасно затормозилась система. так что проводник открывается минут 10. обращение к винчестеру при этом практически нулевое, то есть все жрет оперативка. в taskmanager заглянул: svchost ест 92 и больше памяти. что примечательно, если установить соединение с инетом, оперативка облегчается, и только благодаря этому снятие логов стало вообще возможным. и еще небольшое замечание: при выключении компа мелькает показательно сворачивающийся процесс qwtplugin.exe.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('usbf27');
DeleteService('usbf25');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf25.sys','');
QuarantineFile('C:\WINDOWS\system32\koosoufeboo.exe','');
QuarantineFile('C:\WINDOWS\system32\bezool.exe','');
SetServiceStart('jhzzmaji', 4);
DeleteService('jhzzmaji');
QuarantineFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys','');
QuarantineFile('C:\WINDOWS\system32\wmicvrt.exe','');
TerminateProcessByName('c:\windows\temp\wpv451268842301.exe');
QuarantineFile('c:\windows\temp\wpv451268842301.exe','');
TerminateProcessByName('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe');
QuarantineFile('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe','');
TerminateProcessByName('c:\windows\system32\qtwm.exe');
QuarantineFile('c:\windows\system32\qtwm.exe','');
TerminateProcessByName('c:\windows\system32\qtplugin.exe');
QuarantineFile('c:\windows\system32\qtplugin.exe','');
DeleteFile('c:\windows\system32\qtplugin.exe');
DeleteFile('c:\windows\system32\qtwm.exe');
DeleteFile('c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe');
DeleteFile('c:\windows\temp\wpv451268842301.exe');
DeleteFile('C:\WINDOWS\system32\wmicvrt.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\jhzzmaji.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
DeleteFile('C:\WINDOWS\system32\bezool.exe');
DeleteFile('C:\WINDOWS\system32\koosoufeboo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','dyta');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','koomu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryWm');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf25.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

спасибо вам за оперативность. сделал и прислал. правда наверное следовало сегодняшний карантин (предыдущий) до выполнения скрипта очистить, а то эти файлы, наверное, добавились к старым.

Делайте новые логи

вот новые:

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\bezool.exe','');
QuarantineFile('C:\Dokumente und Einstellungen\Administrator\fkrxsdt.exe','');
QuarantineFile('C:\WINDOWS\system32\solury.exe','');
DeleteService('tesaauswzsyp3rso');
QuarantineFile('C:\WINDOWS\System32\Drivers\csabbfcc.sys','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\csabbfcc.sys');
DeleteFile('C:\WINDOWS\system32\solury.exe');
DeleteFile('C:\Dokumente und Einstellungen\Administrator\fkrxsdt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\bezool.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','koomu');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','koomu');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connec-tion Wizard Setup Tool');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

спасибо, thyrex. вечером смогу прогнать.

вот, пожалуйста. карантин тоже отправил.

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

прилагаю лог

Сколько у Вас антивирусов?

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe - что за файл Вам известно?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\drivers\csabbfcc.sys
c:\dokumente und einstellungen\Administrator\fkrxsdt.exe

Driver::
csabbfcc

Folder::

Registry::

FileLook::
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите ComboFix.txt к сообщению.

теперь уже ни одного антивируса. сначала был mcafee, потом по очереди устанавливал nod и avg, когда началась эта зараза. этот файл мне не известен, ничего хорошего, судя по всему.

лог от вашего скрипта прилагаю (консоль микрософта, которую комбо-фикс навязывает, ставить не обязательно для этих проверок?)

Следов McAfee в логах полно.
Установка консоли восстановления - дело и выбор пользователя.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\solury.exe
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\kyquyvym.exe

Driver::
tesaauswzsyp3rso
yilbnu7nfkeyeo

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\csabbfcc.sys]

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите ComboFix.txt к сообщению.

вот свежий отчет

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [URL=" http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все новые заплатки
Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL]

этим все решится? и проблема с safe mode тоже?

а то, что и сейчас еще иногда всплывает сообщение generic host process win32 вызвал ошибку и будет завершен, и что через какое-то время интернет-соединение становится неактивным разве не указывает на проделки svchost?


может hijack лог сделать?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

еще такой вопрос: на другои компе, через который произошло заражение, можно все ваши скрипты прогнать один к одному? правдо там винда так замедляется сразу после загрузки, что avz не запустишь. только если под досом файлы эти удалять...

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Проверьте безопасный режим

[QUOTE='d.schmitz;607271']а то, что и сейчас еще иногда всплывает сообщение generic host process win32 вызвал ошибку и будет завершен, и что через какое-то время интернет-соединение становится неактивным разве не указывает на проделки svchost?[/QUOTE]А вот для этого и рекомендовано обновить систему

[QUOTE='d.schmitz;607271']еще такой вопрос: на другои компе, через который произошло заражение, [/QUOTE]Выполните правила на другом компьютере и предоставьте логи, [B]но в отдельной теме[/B]
А удалять что-то вслепую не стоит

[QUOTE=thyrex;607280]
Выполните правила на другом компьютере и предоставьте логи, но в отдельной теме
А удалять что-то вслепую не стоит[/QUOTE]

а что можно сделать, чтобы на другом компьютере до выполнения логов дело вообще дошло, если на данный момент после загрузки винды процессы какие-то так съедают память, что вообще не рыпнуться? запуск проводника уже дело безнадежное. может поискать из дос в реестре на предмет, что там сейчас autorun и отключить хотя бы какую-то часть этой лажи? не напомните, как нызывается программка для скана и редактирования реестра системы под дос?

В безопасном режиме на втором компьютере проблема с замедлением остается?

безопасный режим не работает на нем в принципе: вылетает в синий экран и на перезагрузку.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 11 минут[/I][/B][/color][/size]

[QUOTE]Следов McAfee в логах полно.[/QUOTE]

там установка была прервана. может посоветуете, чем выкорчевать следы такого рода?

[QUOTE='d.schmitz;607574']может посоветуете, чем выкорчевать следы такого рода?[/QUOTE][url]http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe[/url]

спасибо, не знал, что есть их собственная утилита для этого.

а что касается другого компа, как подкопаться, если не работает безопасный режим?

А пролечиться с помощью Live CD не пробовали на том компьютере?
Опять же с помощью некоторых Live CD можно и в реестр заглянуть (например, ERD Commander)

Запустился ERD Commander 3in1 2009, я заглянул в autoruns и services, почему-то ничего избыточного там не нашел. откуда же сразу при загрузке винды берутся процессы, которые напрочь загружают систему?

c Boot CD DDD вроде запустился AVZ, сделал логи и выложил в теме [URL="http://virusinfo.info/showthread.php?t=74163"]http://virusinfo.info/showthread.php?t=74163[/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]75[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\dokume~1\admini~1\lokale~1\temp\tmp1293.exe - [B]Backdoor.Win32.Agent.aqtx[/B] ( DrWEB: Trojan.MulDrop1.7137, BitDefender: Trojan.Agent.AOXV, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0044848.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0045858.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.eqz[/B] ( DrWEB: Trojan.Spambot.6597, BitDefender: Trojan.Spammer.Tedroo.CB, NOD32: Win32/SpamTool.Tedroo.AG trojan, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0049079.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erm[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Dropper.Agent.UWE, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0050142.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0050143.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erm[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Dropper.Agent.UWE, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0055766.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0059883.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{2da13a0a-4cdb-4bdc-bbc8-c107af5df794}\rp217\a0059947.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\qtplugin.exe - [B]Backdoor.Win32.Agent.aqqp[/B] ( DrWEB: Trojan.PWS.Mailer, BitDefender: DeepScan:Generic.Malware.SFMHloe.9FDB5D5C, NOD32: Win32/DMSpammer.A trojan )[*] c:\windows\system32\qtwm.exe - [B]Backdoor.Win32.Delf.tkr[/B] ( DrWEB: BackDoor.Uncapch, BitDefender: Trojan.Generic.KD.2507, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Agent.dnww[/B] ( DrWEB: Trojan.Spambot.7173, BitDefender: Trojan.Agent.AOXE, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.erc[/B] ( DrWEB: BackDoor.Tdss.1077, BitDefender: Win32.Worm.Agent.QEO, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wmicvrt.exe - [B]Trojan-Spy.Win32.Zbot.agvz[/B] ( DrWEB: BackDoor.IRC.Bot.257, BitDefender: Trojan.Agent.VB.BHU, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]