Помогите разобраться с логами

**VlaDos** · 30.11.2009, 01:59

thyrex скрипт выполнил, лог выкладываю. В папке временных файлов появляются и быстро пропадают файлы (tmp.version.txt;tmp.appcompat.txt;tmp.hdmp).Файло в очень много, названия разные(WER7569;WERCD6D; и т.д.). Появляются в начале того как загузилась ОС и продолжается все это без прерывно. Могу приложить эти файлы или зделать скрины(если надо).После скрипта это прикратилось. А этого зловреда я уже удалял.(появился вновь). И в папке временных файлов инета 11 А027.ехе куча папок(одни пустые,другие с ехе)в sys32.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 30.11.2009, 13:56

В логе плохого не увидел

Удалите мусор

**VlaDos** · 30.11.2009, 18:52

народ! скажите что делать? сегодня после удаления вирусов корзина стала Intnternet Explorer и открывает IE. В свойствах системы при открытие оборудование и т.д. пишет c:\windows\\system32\\devmgmt.msc или systempropertiesadvanced. Как все вернуть? И еще. В c:\windows32 куча папок с файлом А023.ехе. Ни Веб ни Каспер их не видят.Чем грохнуть. И даст что-нибудь (тупо) удаление временных файлов инета IE ( там тоже всего хватает)

**Rene-gad** · 30.11.2009, 19:09

Сообщение от VlaDos

после удаления вирусов корзина стала Intnternet Explorer и открывает IE

http://virusinfo.info/showthread.php?t=30250

В свойствах системы при открытие оборудование и т.д. пишет [B]c:\windows\\system32\\devmgmt.msc

http://support.microsoft.com/kb/914231/en-us

Сообщение от VlaDos

В c:\windows32 куча папок с файлом А023.ехе. Ни Веб ни Каспер их не видят.

Очевидно файловый мусор без вредных кодов. Поиск Виндовс, найти по маске и удалить.

**VlaDos** · 30.11.2009, 21:22

Rene-gad спасибо за ссылки и внимание. А можно по подробнее про Поиск Виндовс, найти по маске и удалить..

Добавлено через 1 час 22 минуты

Rene-gad сделал с корзиной,как в описании. Появилась опять (IE). Профиксил, а результатов нет.

**Rene-gad** · 01.12.2009, 10:47

Сообщение от VlaDos

Профиксил, а результатов нет.

Кого пофиксил?

**VlaDos** · 03.12.2009, 21:32

Народ,обнаружил в папке c:\windows\system32\drivers\etc файл host.ics(Файл iCalendar) с таким содержимым (host_1) и файл lmhosts sam (host_2).
А сам файл host имеет такое содержание(host_3).На сколько я знаю, в хост должно быть 127.0.0.1 и все а тут....... Посмотрите плиззз, все ли здесь в норме.Проблема начатой темы осталась. Поставил после KAV, DrWeb. Нашел :
rgrevxx.exe c:\windows BackDoor.ClDdos.9
rmmftkc.dll c:\windows\system32 BackDoor.Siggen.138
rgrevxx.exe C:\Windows BackDoor.ClDdos.9
RdmgtnC.dll C:\Windows\System32 BackDoor.Siggen.138
RmmftkC.dll C:\Windows\System32 BackDoor.Siggen.138
RsmhtsC.dll C:\Windows\System32 BackDoor.Siggen.138
RtmktvC.dll C:\Windows\System32 BackDoor.Siggen.138
RzmuthC.dll C:\Windows\System32 BackDoor.Siggen.138
8000[1].exe C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5\E1H9IM78 Trojan.DownLoad.28073
Tmp13BA.tmp C:\Windows\Temp BackDoor.Darkshell.96
Tmp68C6.tmp C:\Windows\Temp Trojan.MulDrop.31437
Tmp80F8.tmp C:\Windows\Temp Trojan.DownLoad.50456
TmpB303.tmp C:\Windows\Temp Trojan.MulDrop.origin
smss.exe c:\windows\system32\msisrv-Trojan.Click.34240 Удален.
smss.exe c:\windows\system32\netactivator BackDoor.IRC.Sdbot.6670 Удален.
uidrunsrv.dll c:\windows\system32 Trojan.DownLoad1.10707 Удален.
yisy.exe c:\windows\system32 Trojan.DownLoad.50456 Удален.
C027.exe C:\Windows\System32\iIpc\Trojan.MulDrop.49541 Удален.
M001.exe C:\Windows\System32\iIpc\Trojan.DownLoad1.11769 Удален. Последгие 2-а опять сегодня появились. Скачал ProcessExplorer 11.33. При появление подключения процесса iexplore.exe начинаются тормоза. останавливаю или убиваю процесс, все нормализуется. Пользуюсь Оперой. Подключения идут даже если я просто подключен к сети.

**VlaDos** · 03.12.2009, 22:30

Да и чуть не забыл. В корне С: появился док. t тхт. с таким содержимым:
[T]
T=C:\Windows\Sistem32\iIpc\M001.exe
О как.....

**VlaDos** · 04.12.2009, 12:47

Сделал логи , "найденные" не удалял(для полной ясности для вас):

**thyrex** · 04.12.2009, 13:25

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\iIpc\M001.exe','');
DeleteFile('C:\Windows\System32\iIpc\M001.exe');
QuarantineFile('C:\Windows\System32\iIpc\E001.exe','');
DeleteFile('C:\Windows\System32\iIpc\E001.exe');
QuarantineFile('C:\Windows\System32\uidlogsrv.dll','');
DeleteFile('C:\Windows\System32\uidlogsrv.dll');
 QuarantineFile('C:\Windows\system32\be74b5.dll','');
 QuarantineFile('C:\Windows\system32\acpi24.sys','');
 DeleteService('acpi24Drv');
 QuarantineFile('C:\Windows\Atvxx.exe','');
 DeleteService('vxx');
 QuarantineFile('C:\Windows\sfevxx.exe','');
 DeleteService('sfvxx');
 QuarantineFile('C:\Windows\system32\lsaas.exe','');
 DeleteService('Qvodmedia');
 QuarantineFile('C:\Windows\system32\acpi24.exe','');
 DeleteService('acpi24');
 DeleteFile('C:\Windows\system32\acpi24.exe');
 DeleteFile('C:\Windows\system32\lsaas.exe');
 DeleteFile('C:\Windows\sfevxx.exe');
 DeleteFile('C:\Windows\Atvxx.exe');
 DeleteFile('C:\Windows\system32\acpi24.sys');
 DeleteFile('C:\Windows\system32\be74b5.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\svchost.exe\Parameters','ServiceDll');
DeleteFileMask('C:\Windows\System32\iIpc', '*.*', true);
DeleteDirectory('C:\Windows\System32\iIpc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**VlaDos** · 04.12.2009, 19:42

thyrex скрипт выполнил.В корне опять появился t.ini фаил ([T] T=C:\Windows\Sistem32\iIpc\M001.exe.Карантин загрузил,вот новые логи:

**Rene-gad** · 04.12.2009, 20:03

Именно Sistem32 или всё-таки System32?

**VlaDos** · 04.12.2009, 20:30

Rene-gad, прошу прощения System32

**thyrex** · 04.12.2009, 22:09

Сделайте такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**VlaDos** · 04.12.2009, 23:45

thyrex. все сделал, ComboFix создал карантин вот лог:

**thyrex** · 04.12.2009, 23:55

t.ini удаляли? Если нет, тогда сделайте это и проследите, будет ли он появляться

**VlaDos** · 05.12.2009, 11:36

нет не удалял. сейчас удалю и понаблюдаю...

Добавлено через 3 минуты

сейчас запустил Process Explorer,опять появилось несколько процессов подключения iexplore.exe. Убил процессы.

Добавлено через 11 часов 30 минут

ini файл вроде не появляется, но комп периодически притормаживает,а иногда просто подвисает. А как посмотреть, куда идут подключения процессов iexplore.exe?

**VlaDos** · 06.12.2009, 00:42

Народ, при проверке DrWeb находит ComboFix и определяет его как (возможно,BATCH.Virus). Что делать? И хотелось бы узнать будут какие-нибудь дальнейшие действия или нет?! Комп немного тупит(подвисает при открытие папок и зависает в проводнике)

**thyrex** · 06.12.2009, 13:15

Удалите ComboFix

**VlaDos** · 06.12.2009, 13:32

thyrex, ERUNT и SDFix работают под Вистой?

Помогите разобраться с логами (заявка № 60954)

Опции темы

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Помогите пожалуйста с логами

ComboFix нашел руткит в системе, помогите с логами, может что то осталось

помогите с логами

Помогите с логами

Помогите, с логами антивирусных утилит

Ваши права в разделе