Постоянно выскакивают троянскиепрограммы с IP и плодятся .exe файлы вируса в папке Temp
Вот логи
Printable View
Постоянно выскакивают троянскиепрограммы с IP и плодятся .exe файлы вируса в папке Temp
Вот логи
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]R3 - URLSearchHook: OLE (1/5) - - (no file)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\.exe','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
QuarantineFile('C:\WINDOWS\system32\svcs32.exe','');
QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\wmiprvse.exe','');
QuarantineFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\syre32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
DeleteFile('C:\WINDOWS\system32\svcs32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svcs32');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','502');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','110');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','118');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','799');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','spool32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','014');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','743');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','221');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','82');
DeleteFile('C:\WINDOWS\system32\.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи
[QUOTE='Olejah;704954']Пришлите файл [B][COLOR="Red"]quarantine.zip [/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.[/QUOTE] Из сообщения карантин надо убрать!
сорри
карантин закачал
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Z90\Local Settings\Temporary Internet Files\Content.IE5\2HIMFUDE\prr[1].exe','');
DeleteFile('C:\Documents and Settings\Z90\Local Settings\Temporary Internet Files\Content.IE5\2HIMFUDE\prr[1].exe');
QuarantineFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Z90\Application Data\ltzqai.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y20RA8JU\y[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y20RA8JU\y[1].exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RMZ0TNZW\y[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RMZ0TNZW\y[1].exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\35C9BRPG\y[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\35C9BRPG\y[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите лог [B]virusinfo_syscure.zip[/B]
готово
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL], не хотят умирать
готово
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -
[CODE]Зараженные модули в памяти:
C:\WINDOWS\system32\wpsecure.dll (Trojan.Vundo.H) -> No action taken.
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e51fd59-8b73-4e82-be10-4621d95035f6} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9e51fd59-8b73-4e82-be10-4621d95035f6} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9e51fd59-8b73-4e82-be10-4621d95035f6} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56b38f40-4e70-11d4-a076-0080ad86ba2f} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{56b38f40-4e70-11d4-a076-0080ad86ba2f} (Trojan.BHO) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\wpsecure.dll (Trojan.Vundo.H) -> No action taken.
C:\RECYCLER\S-1-5-21-0075034047-7241733427-248733407-7078\syscr.exe (Worm.Autorun) -> No action taken.
C:\RECYCLER\S-1-5-21-1205019087-5921488835-878508798-9129\syscr.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\03.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\04.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\06.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\11.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\20.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\70.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\71.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\73.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\81.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\83.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\30.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\31.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\35.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\36.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\44.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\45.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\48.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\51.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\57.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\63.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\64.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\65.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\66.exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\35C9BRPG\7[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\40JAQ29Y\7[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\D8OL3RUH\7[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JV4EL53X\0[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SQLX60WV\0[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UVVENWL7\0[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Z90\Local Settings\Temporary Internet Files\Content.IE5\SY0JM765\zbf[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\ltzqai.exe (Trojan.Agent) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00002.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00003.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00004.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00005.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00006.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00007.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00008.dta (Worm.Autorun) -> No action taken.
D:\Скорая помощь\avz434\Quarantine\2009-02-13\avz00009.dta (Worm.Autorun) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\Regsvr.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\cgmopenbho.dll (Trojan.BHO) -> No action taken.[/CODE]
- Повторите лог МВАМ
лог после удаления
в AVZ делать повторно?
Чисто, что с проблемой?
Спасибо огромное !!!! Комп работает как часы!
Рекомендуется обновить Internet Explorer v7.00(даже если Вы им не пользутесь)
вирусы полезли более страшной силой. каждую секунду нод 32 ловит, то в систем 32 то теипах=(
произошло буквально через 2-3 часа. интернет странички не открывались и ничего на комп не ставилось
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
готово
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\cfdrive32.exe
c:\windows\system32\msvmiode.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
не помогло. так же выскакивают, но уже 1-2, но начала внутренняя сеть отваливаться
вот новый лог
Лог МВАМ сделайте
готово
Удалите всё, что нашёл МВАМ.
сделал. опять вылитает =(
[B]c:\windows\cfdrive32.exe
c:\windows\system32\msvmiode.exe[/B] - А вот эти двое висят в процессах?
нету, но всеравно выскакивают
висит непонятный процесс и занимает 0 всего, а память сколько занимает вообще не прописано
wowexec.exe
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\z90\\application data\\ltzqai.exe - [B]Trojan.Win32.Pincav.ageh[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.6036706, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\wbem\\wmiprvse.exe - [B]Trojan-Downloader.Win32.Small.auib[/B][/LIST][/LIST]