HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe

**Cyber Wolf** · 21.12.2010, 20:58

Сообщение от polword

карантин последний пришлите

выполните скрипт в combofix и прикрепите новый лог.
p.s.

если не обновите систему- зловреды скорее всего вернутся

Ok, все сделаю без замены winlogon'a. А есть ли возможность его скачать из интернета? Погуглил, но не нашел ничего.
PS. Извиняюсь, но архив quarantine.zip был уже загружен и форум не позволяет загрузить его заново, даже если поменять имя архива. Поэтому прикрепляю его к этому сообщению.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 21.12.2010, 21:30

Мне хотелось бы увидеть логи AVZ. Диск загрузочный с системой той, что у Вас установлена имеется?

**Cyber Wolf** · 21.12.2010, 22:11

Сообщение от миднайт

Мне хотелось бы увидеть логи AVZ. Диск загрузочный с системой той, что у Вас установлена имеется?

Извиняюсь, не увидел сразу, что не прикрепились файлы.

Есть установочный диск, но точно не знаю, тот ли он. Вероятнее всего, это он и есть. Пытался найти на установочном диске winlogon через стандартный поиск - не вышло... =(

**миднайт** · 21.12.2010, 22:31

Подождите winlogon заменить, сначала проверьте его на http://www.virustotal.com/
Ссылку на результат напишите.

Сообщение от Cyber Wolf

Пытался найти на установочном диске winlogon через стандартный поиск

он там в архивном виде лежит, распаковывается командой expand (в ссылке указанной хелпером описано как это делать)
Жду логи AVZ.

**Cyber Wolf** · 21.12.2010, 22:39

Сообщение от миднайт

Подождите winlogon заменить, сначала проверьте его на http://www.virustotal.com/
Ссылку на результат напишите.

он там в архивном виде лежит, распаковывается командой expand (в ссылке указанной хелпером описано как это делать)
Жду логи AVZ.

http://www.virustotal.com/file-scan/...0a2-1292959961 - ссылка на результат.

Логи прикреплял к одному из последних сообщений. К сожалению, логи AVZ не закачиваются через ссылку "Прислать запрошенный карантин", т.к. лог был уже отправлен ранее.

Прикреплю к этому сообщению

**миднайт** · 21.12.2010, 22:43

Логи AVZ нужно прикрепить к сообщению, а не загружать по ссылке "Прислать запрошенный карантин"

. А вот файлик winlogon.exe заархивируйте с паролем virus и пришлите по этой самой ссылке "Прислать запрошенный карантин".

**Cyber Wolf** · 21.12.2010, 22:48

Сообщение от миднайт

Логи AVZ нужно прикрепить к сообщению, а не загружать по ссылке "Прислать запрошенный карантин"

. А вот файлик winlogon.exe заархивируйте с паролем virus и пришлите по этой самой ссылке "Прислать запрошенный карантин".

Сделано =) Логи прикрепил к предыдущему сообщению.

Во мне вновь проснулась надежда на излечение )))

**polword** · 21.12.2010, 22:58

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\fewh.exe
c:\windows\system32\serivces.exe
c:\windows\system32\gbre.exe
c:\windows\system32\G6YHSYCF\F001.exe 
c:\windows\system32\G6YHSYCF\E003.exe

Driver::
BSuWAcmv
err

NetSvc::

Folder::
c:\windows\system32\G6YHSYCF
c:\windows\system32\G6YHSYCF
c:\windows\system32\3NQ3FYCH
c:\documents and settings\BIG BAD WOLF\3281
c:\windows\system32\0DJZ1713
c:\documents and settings\BIG BAD WOLF\6199
c:\windows\system32\YITEMRCS
c:\windows\system32\XWVJI48D
c:\windows\system32\WBYOFI6Y
c:\windows\system32\V1LJMZ6G
c:\windows\system32\UR6EUH7X
c:\windows\system32\TUYS4DW1
c:\documents and settings\BIG BAD WOLF\2249
c:\windows\system32\fewh.exe
c:\windows\system32\OCJR64JH
c:\documents and settings\BIG BAD WOLF\5817
c:\windows\system32\N5UZ42FO
c:\windows\system32\N6FSWDZE
c:\windows\system32\MX1O3U0V
c:\windows\system32\LC4S07XH
c:\windows\system32\K23GACO7
c:\windows\system32\JH6L6PLT
c:\windows\system32\IKPZRYFH
c:\windows\system32\HN8EC685
c:\windows\system32\G6YHSYCF
c:\documents and settings\BIG BAD WOLF\6321
c:\documents and settings\BIG BAD WOLF\2002
c:\documents and settings\BIG BAD WOLF\10426
c:\documents and settings\BIG BAD WOLF\7939
c:\windows\system32\G6YHSYCF
c:\windows\system32\YITEMRCS
c:\windows\system32\XWVJI48D
c:\windows\system32\WBYOFI6Y
c:\windows\system32\V1LJMZ6G
c:\windows\system32\N6FSWDZE
c:\windows\system32\UR6EUH7X
c:\windows\system32\N5UZ42FO
c:\windows\system32\N6FSWDZE
c:\windows\system32\MX1O3U0V
c:\windows\system32\LC4S07XH
c:\windows\system32\K23GACO7
c:\windows\system32\JH6L6PLT
c:\windows\system32\IKPZRYFH
c:\windows\system32\HN8EC685
c:\windows\system32\G6YHSYCF
c:\windows\system32\G6YHSYCF

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**Cyber Wolf** · 21.12.2010, 23:20

Готово. Жду дальнейших указаний

**polword** · 21.12.2010, 23:27

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\waifaprnlib.dll
c:\windows\system32\serivces.exe
c:\windows\system32\waigapsclib.dll
c:\windows\system32\waigaprnlib.dll

Driver::
PlugPlayCM
WaigSvc

NetSvc::

Folder::

Registry::

FileLook::

DirLook::
c:\documents and settings\BIG BAD WOLF\DoctorWeb

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**Cyber Wolf** · 21.12.2010, 23:58

Готово

C:\WINDOWS\system32\serivces.exe после перезагрузки ожил заново

polword, отправил Вам личное сообщение.

**polword** · 22.12.2010, 00:09

что находиться в папке c:\documents and settings\BIG BAD WOLF\DoctorWeb?

**Cyber Wolf** · 22.12.2010, 00:11

Сообщение от polword

что находиться в папке c:\documents and settings\BIG BAD WOLF\DoctorWeb?

Не могу знать, из DoctorWeb устанавливал только утилиту CureIt (согласно Правил форума)

**polword** · 22.12.2010, 00:16

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\serivces.exe

Driver::

NetSvc::

Folder::
c:\documents and settings\BIG BAD WOLF\DoctorWeb

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**Cyber Wolf** · 22.12.2010, 00:39

Сделано

**Aleksandra** · 22.12.2010, 01:23

Сделайте fixmbr.

**миднайт** · 22.12.2010, 02:03

Это в помощь.
http://www.microsoft.com/resources/d....mspx?mfr=true
http://support.microsoft.com/kb/307654/ru
http://support.microsoft.com/kb/314058/ru

**Cyber Wolf** · 22.12.2010, 11:54

Aleksandra, миднайт, все сделал.

При включении компьютера KIS информирует "обнаружено вредоносное по", но в целом ведет себя тихо. Как быть теперь? "Нейтрализовать угрозы" с помощью Касперского? Имеет ли смысл удаление всех созданных файлов и каталогов в процессе борьбы с вирусом? ($WIN_NT$.~BT; Qoobox; TDSSKiller.2.4.12.0_21.12.2010_19.38.52_log.txt и т.д.)

**polword** · 22.12.2010, 12:18

- сделайте повторный лог Combofix
- Сделайте повторный лог virusinfo_syscheck.zip;

**Cyber Wolf** · 22.12.2010, 15:05

Сообщение от polword

- сделайте повторный лог Combofix
- Сделайте повторный лог virusinfo_syscheck.zip;

Сделано, прилагаю к сообщению

HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe (заявка № 93959)

Опции темы

Похожие темы

Качает вирусы с soft.jajaca.com

вирус soft.jajaca.com/lib.zip

svchost.exe ссылается на soft.jajaca.com

Комп ломится на soft.jajaca.com (подробнее внутри)

Постоянное подключение к http://soft.jajaca.com/lib.zip и вирус j001.exe

Метки для этой темы

Ваши права в разделе