выполните скрипт
локальная сеть есть ?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\f2y7a8m1e2s.exe'); DeleteFile('c:\windows\system32\drivers\qsaf.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVP периодически вылавливает 2 процесса Qsaf и Zgmh удаляю 1 появляется другой. Вот собсно и борюсь с ними, пока что безуспешно
выполните скрипт
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\system32\drivers\qsaf.exe'); TerminateProcessByName('c:\f2y7a8m1e2s.exe'); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_is-AN9P1.exe.bat',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\03438314.sys',''); DeleteFile('c:\f2y7a8m1e2s.exe'); DeleteFile('c:\windows\system32\drivers\qsaf.exe'); DeleteFile('C:\WINDOWS\system32\DRIVERS\03438314.sys'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_is-AN9P1.exe.bat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
локальная сеть есть. Провайдер Matrix
логи прилагаю. пока avz составлял лог интернет отключился.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Zgmh.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Zgmh.exe
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\system32\drivers\zgmh.exe'); QuarantineFile('c:\windows\system32\drivers\zgmh.exe',''); DeleteFile('c:\windows\system32\drivers\zgmh.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Есть зловред в C:\WINDOWS\system32\42.scr который мешает удалению. В первом логе Gmer его видно. Мой скрипт Вы выполнили до того, как я внесла в него правку.
Сердце решает кого любить... Судьба решает с кем быть...
вот логи
так и что с этим делать?
Добавлено через 8 минут
удалить его я не решаюсь без Вашей на то команды, выглядит он больно легально.
Последний раз редактировалось valerasc128; 03.08.2009 в 21:10. Причина: Добавлено
В логах чисто, но я думаю это временно. Скачайте AVZ который у меня в подписи и сделайте логи с помощью него. Заодно поищите на диске файлик, про который я Вам написала. Если найдете заархивируйте его с паролем virus и пришлите нам по правилам. Ссылка для закачки карантина вверху темы.
Добавлено через 10 минут
Он выглядит легально?Сообщение от valerasc128
Как раз таки нет. Я сначала посмотрела только второй лог Gmer, там его не было. А в первом он есть. И размерчик как раз под стать. А вот ссылочка интересная http://www.prevx.com/filenames/X1368...75618.EXE.html
Последний раз редактировалось Aleksandra; 03.08.2009 в 21:22. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Интересная ссылка. Qsaf.exe прямо черным по белому. Кстати он вернулся=)), Вы были абсолютно правы.
вот лог, 42 сейчас залью.
42.scr - Backdoor.Win32.SdBot.ofw
Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью AVPTool и повторите логи...
Сердце решает кого любить... Судьба решает с кем быть...
очистил всё вот лог
И что AVPTool что-то нашел и удалил?
Сердце решает кого любить... Судьба решает с кем быть...
Zghm.exe нашел, Qsaf.exe не появляется. Как только интернет отключается в диспетчере задач появляется процесс Zghm.
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот логи. извините за задержку работа мешает вовремя сдавать всё.
Сделайте проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Zgmh.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\system32\drivers\zgmh.exe'); QuarantineFile('c:\windows\system32\drivers\zgmh.exe',''); DeleteFile('c:\windows\system32\drivers\zgmh.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
к здоровому компьютеру мне пока не добраться.
f2o1b6n1y7d4.exe вот фаил который появляется прямо на диске C: перед тем как соединение рвется в Диспетчере задач появляется такойже процесс буквально на 2-3с и потом исчезает. При удалении файл через минуту появляется снова, и это после проверки в Safe Mode с помощью AVP. Как найти то что инсталирует этот файл уман еприложу. Можно как-нибудь справиться без здорового компьютера?
Уважаемый(ая) valerasc128, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
