Создает клоны ехешников, наполняет систему троянами, вешает инет, создает непонятные процессы типа подключения мобильника по USB...находится Kaspersky Virus Removal Tools и CureIt!, удаляется, но позже вся канитель повторяется.
Printable View
Создает клоны ехешников, наполняет систему троянами, вешает инет, создает непонятные процессы типа подключения мобильника по USB...находится Kaspersky Virus Removal Tools и CureIt!, удаляется, но позже вся канитель повторяется.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Все сделал, карантин отправил. Жду дальнейших указаний.
[QUOTE='thyrex;643804']Сделайте новые логи [/QUOTE]
вот
Логи чего? AVZ?
Вот AVZ-шные, hiJack-шные нет смысла слать, наверное...
...мне все еще нужна помощь...выручайте, товарищи спецы...
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
BC_DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Скачайте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL], скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Сделайте новые логи по правилам
[B][SIZE="3"]Логи выложили старые[/SIZE][/B]
Переделать
Прошу пардонить за старые логи...вот после первого скрипта:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\57.scr','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\WINDOWS\system32\62.scr','');
QuarantineFile('C:\WINDOWS\system32\64.scr','');
QuarantineFile('C:\WINDOWS\system32\43.scr','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2828425090-4430973677-703778076-1768\syscr.exe','');
QuarantineFile('c:\windows\system32\scvdll.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\74.exe','');
TerminateProcessByName('c:\windows\system32\74.exe');
QuarantineFile('c:\windows\system32\67.exe','');
TerminateProcessByName('c:\windows\system32\67.exe');
QuarantineFile('c:\windows\system32\43.exe','');
TerminateProcessByName('c:\windows\system32\43.exe');
DeleteFile('c:\windows\system32\43.exe');
DeleteFile('c:\windows\system32\67.exe');
DeleteFile('c:\windows\system32\74.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\scvdll.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2828425090-4430973677-703778076-1768\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
DeleteFile('C:\WINDOWS\system32\43.scr');
DeleteFile('C:\WINDOWS\system32\64.scr');
DeleteFile('C:\WINDOWS\system32\62.scr');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\57.scr');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.( virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
И такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.( virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL][/QUOTE]
Вот как-то так:
[QUOTE=thyrex;645244]И такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url][/QUOTE]
И так:
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [B]все, кроме[/B]
[CODE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
D:\Games\David Douillet Judo\tech.dll (Backdoor.Bot) -> No action taken.
D:\Дистрибутивы\Winamp Pro 5.21\Winamp-keygen.exe (Trojan.Agent) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\AB COMMANDER XP EDITION 6.93 WIN32\KEYGEN.EXE (Trojan.Downloader) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\AHEAD NERO BURNING ROM V8.1.1.3\NERO8KEYGEN.EXE (Trojan.Downloader) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\CORELDRAW GRAPHICS SUITE X4 V14.0.0.567 RUS\KEYGEN.EXE (Trojan.Agent.CK) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\DIVX PRO (INCL. DIVX PLAYER) 6.7.0.28\KEYMAKER.EXE (Malware.Packer) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\WINRAR 3.71 RU\PATCH.EXE (Trojan.Patcher) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\SYMANTEC NORTON GHOST 14.0\KEYGEN.EXE (Spyware.OnlineGames) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\REGISTRY WORKSHOP V3.0.0.0\REGISTRY.WORKSHOP.3.0.0.0-ISMAIL.EXE (Trojan.Downloader) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\ONTRACK EASYRECOVERY PRO 6.10.07\EASYRECOVERYPRO-6.10.EXE (Trojan.Dropper) -> No action taken.
D:\Дистрибутивы\WindowsXP+Soft\SOFT\FRESH UI 7.97\KEYGEN.EXE (Trojan.Downloader) -> No action taken.[/CODE]Сделайте новый лог МВАМ
Кажется полегчало:
Выполните скрипт в AVZ
[code]begin
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Если не секрет: а зачем мне этот бестолковый выкидыш Большого Папочки? =) (вопрос из любопытства, хотя покорно скачал и установил).
Лог прицепом:
[QUOTE='EugenyTheLightYear;645680']зачем мне этот бестолковый выкидыш Большого Папочки?[/QUOTE]Ввиду тесной интеграции IE в систему установка новых версий способствует повышению безопасности системы в целом
В логе порядок
Всем спасибо за помощь, впредь буду разборчивей в связях ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\msvmiode.exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4076368, AVAST4: Win32:VB-PKR [Drp] )[*] c:\windows\system32\scvdll.exe - [B]Worm.Win32.AutoRun.biji[/B] ( DrWEB: Trojan.DownLoad.35732, AVAST4: Win32:IRCBot-DRW [Trj] )[*] c:\windows\system32\43.exe - [B]Worm.Win32.AutoRun.hel[/B] ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\67.exe - [B]Worm.Win32.AutoRun.hel[/B] ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\74.exe - [B]Worm.Win32.AutoRun.hel[/B] ( DrWEB: Trojan.Click.50748, AVAST4: Win32:Malware-gen )[/LIST][/LIST]