Система инфицирована?

**pomy** · 07.02.2008, 12:46

В Инете система тормозит, сайты зависают, посмотрите пожалуйста вложения.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 07.02.2008, 13:01

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: 61.129.115.198 www.xldd.com
O1 - Hosts: 61.129.115.198 www.ojiang.com
O1 - Hosts: 61.129.115.198 www.shuixian.net
O1 - Hosts: 61.129.115.198 www.xlarea.com
O2 - BHO: (no name) - {38DFDADF-BA43-4C43-7890-ACAF12375911} - C:\WINDOWS\system32\config32\_0001\wizard.dll (file missing)
O2 - BHO: (no name) - {38DFDADF-BA43-4C43-7890-ADE6777666BB} - C:\WINDOWS\system32\config32\updater.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com','');
 QuarantineFile('kdecb.exe','');
 QuarantineFile('C:\WINDOWS\system32\windll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\soundmix.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\noskrnl.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\mxcrtp.dll','');
 QuarantineFile('C:\WINDOWS\System32\dfgaert.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
 QuarantineFile('C:\WINDOWS\system32\w32sys6.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\noskrnl.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\soundmix.exe');
 DeleteFile('C:\WINDOWS\system32\windll32.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17684).
Удалите задание в Планировщике.
Сделайте новые логи.

**pomy** · 07.02.2008, 13:58

Спасибо, но не все вылечилось, по-моему..

**Bratez** · 07.02.2008, 14:16

Однако уже значительно лучше.

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [shellbn] C:\WINDOWS\System32\dfgaert.dll
O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\System32\mxcrtp.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\kdecb.exe');
 DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Удалите задание в Планировщике.
Сделайте новые логи, начиная с п.10 правил.

Добавлено через 3 минуты

В карантине были:
kdecb.exe - Trojan.Win32.DNSChanger.aum
ntos.exe - Trojan-Spy.Win32.Zbot.aen
SETUPAPI.dll - Trojan-Spy.Win32.Webmoner.fq

Рекомендуется после лечения поменять все пароли, особенно если пользуетесь плтежными системами.

Система инфицирована? (заявка № 17684)

Опции темы

Система инфицирована?

Похожие темы

Система

Глючит система

Система

Тормозит система.Глючит система

Флешка инфицирована VBS.Igidak и не открывается

Ваши права в разделе