HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe

**polword** · 22.12.2010, 15:20

пока не Отключите Системное восстановление!!! как- посмотреть можно тут-будем лечить вечно
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
 QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
 DeleteService('PlugPlayCM');
 QuarantineFile('c:\windows\system32\serivces.exe','');
 TerminateProcessByName('c:\windows\system32\serivces.exe');
 QuarantineFile('c:\windows\system32\fewh.exe','');
 TerminateProcessByName('c:\windows\system32\fewh.exe');
 DeleteFile('c:\windows\system32\fewh.exe');
 DeleteFile('c:\windows\system32\serivces.exe');
 DeleteFile('C:\WINDOWS\system32\serivces.exe');
 BC_ImportAll;
 BC_DeleteSvc('PlugPlayCM');
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Cyber Wolf** · 22.12.2010, 15:52

polword, извините, я его отключал изначально, но потом "по дурости" включил заново. Сейчас все отключил

Все сделано. При перезагрузке выскакивает сообщение от KIS - Обнаружено: Worm.Win32.AutoRun.btzw - C:\WINDOWS\SYSTEM32\SERIVCES.EXE (к файлу обращается какой-то Java(TM) Quick Starter Service)

Также через какое-то время выскакивает информ. окно - ошибка приложения svchost.exe - Инструкция по адресу "0x001f1cb0" обратилась к памяти по адресу "0х48544950". Память не может быть "written".

**Aleksandra** · 22.12.2010, 19:05

1. Деинсталлируйте Combofix.
2. Сделайте еще раз полный комплект логов по правилам.

**Cyber Wolf** · 23.12.2010, 09:58

Все сделал. Ребята, все кажется совсем плохо...

Кто-то поставил заново восстановление системы (это при том, что стоит пароль на вход в Windows), а также заблокировал выход на этот сайт (и на многие другие, такие, как virusnet.info, сайты касперского и т.д.).

Пришлось запускать CCleaner.

При выключении компьютера вчера вылезло информ. окно "Завершение программы Connections Tray"

Что мне делать? Кто-то получил доступ на компьютер...

PS. Кстати забавно, но антивирус теперь ни на что не ругается. Я теперь вообще ничего не понимаю... ((

**polword** · 23.12.2010, 10:16

Обновляйте систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

после всего вышеперечисленного если проблемы останутся будем думать дальше

**Cyber Wolf** · 24.12.2010, 00:19

Уррррррррррра!!! Все сделано, установлен SP3, заплатки установлены, уязвимости устранены!!!

Теперь можно спать спокойно? Или это не конец?..

Проблема в том, что на компьютере слишком много пользователей. Порекомендуйте пожалуйста программу для ограничения доступа в интернете (чтобы можно было свободно заходить только на определенные сайты, выбираемые мною, а полный доступ к интернету осуществлялся только через ввод пароля). Подобная программа-браузер кажется есть от firefox, но там столько настроек...

**CyberHelper** · 25.12.2010, 00:19

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 21
В ходе лечения обнаружены вредоносные программы:
1. \\bootvir - Backdoor.Win32.Trup.b ( DrWEB: Trojan.Alipop.3, BitDefender: Rootkit.MBR.Alipop.C (Boot image), AVAST4: MBR:Bootroot [Rtk] )
2. c:\\windows\\ali.exe - Trojan.Win32.VB.anga ( DrWEB: Trojan.DownLoader1.42315, BitDefender: Trojan.Generic.5209239, NOD32: Win32/TrojanDownloader.VB.OXW trojan, AVAST4: Win32:Malware-gen )
3. c:\\windows\\system32\\fewh.exe - Worm.Win32.AutoRun.btzw ( DrWEB: BackDoor.IRC.Sdbot.15548, BitDefender: Trojan.Generic.5630695, AVAST4: Win32:AutoRun-CTL [Trj] )
4. c:\\windows\\system32\\waifaprnlib.dll - Net-Worm.Win32.Kolab.spj ( DrWEB: BackDoor.Siggen.27497, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-QL [Trj] )
5. c:\\windows\\system32\\5ymh2mp7\\c19.exe - Trojan.Win32.Scar.dhtk ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AJ trojan, AVAST4: Win32:Crypt-JFZ [Trj] )

HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe (заявка № 93959)

Опции темы

Итог лечения

Похожие темы

Качает вирусы с soft.jajaca.com

вирус soft.jajaca.com/lib.zip

svchost.exe ссылается на soft.jajaca.com

Комп ломится на soft.jajaca.com (подробнее внутри)

Постоянное подключение к http://soft.jajaca.com/lib.zip и вирус j001.exe

Метки для этой темы

Ваши права в разделе