Атаки вирусов

[NemecFD]

Новые логи и отчет

[Rene-gad]

Скачайте Combofix: http://www.geekstogo.com/forum/Combofix-file197.html и сделайте очистку и лог: http://www.bleepingcomputer.com/comb...o-use-combofix
Пункт о консоли восстановления примите просто к сведению.
Если не поможет - придется сносить систему.

[NemecFD]

Сносил систему три раза форматировал диск,результат тот-же.Потом сканировал Avast в фоновом режиме и не мог удалить инфецированный файл,Avast выдовал ошибку.Потом решил обратится к вам.Сейчас скачаю Combofix

[NemecFD]

результат Combofix

[NemecFD]

вирусы прибывают в С\ dll32d.exe появился они всегда после перезагрузки появляются разные.

[NemecFD]

Новые логи

[NemecFD]

Avast находит руткиты трояны и удаляет их. Натыкается на OnlineGames-CAA не может его удалить ошибка 0хС0000043 даже после того как переустановлю винду и отформатирую диск С: Сейчас постоянно открывается окно какогото сайта <ear money buscar con google

[Alex_Goodwin]

Такое ощущение, что вы постаянно перезаражаетесь. Пролечитесь live CD от доктора http://virusinfo.info/showthread.php?t=15927
потом не втыкая флешки, не включая интернет выполните скрипт, после - сделайте новые логи, установите все патчи.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('yumopmvi');
 DeleteService('wycnrukb');
 DeleteService('wwtevtxk');
 DeleteService('vfhvtwkb');
 DeleteService('vefvtokd');
 DeleteService('telfmlaa');
 DeleteService('spivzbje');
 DeleteService('jalcwlzh');
 DeleteService('hkvldygo');
 DeleteService('cwvhwknw');
 DeleteService('bqykvlvu');
 DeleteService('akjztryc');
 DeleteService('aewzaadb');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\drivers\uutahvgt.sys','');
 QuarantineFile('c:\windows\system32\cscui.dll','');
DeleteFile('c:\windows\system32\22.scr');
DeleteFile('c:\windows\system32\83.scr');
DeleteFile('c:\windows\system32\45.scr');
DeleteFile('c:\windows\system32\41.scr');
DeleteFile('c:\windows\system32\02.scr');
DeleteFile('c:\windows\system32\16.scr');
DeleteFile('c:\windows\system32\37.scr');
DeleteFile('c:\windows\system32\76.scr');
DeleteFile('c:\windows\system32\48.scr');
DeleteFile('c:\windows\mslsrv.exe');
DeleteFile('c:\windows\system32\57.scr');
DeleteFile('c:\windows\system32\28.scr');
DeleteFile('c:\windows\system32\03.scr');
DeleteFile('c:\windows\system32\12.scr');
DeleteFile('c:\windows\system32\81.scr');
DeleteFile('c:\windows\nsreg.dat');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_7c1571a4.exe');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_225a1f24.exe');
DeleteFile('c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{376DA9DC-71B3-4AB7-A80C-8ED02A736172}\_10d22696.exe');
DeleteFile('c:\windows\system32\drivers\54601050.sys');
DeleteFile('c:\windows\system32\drivers\aswFsBlk.sys');
DeleteFile('c:\windows\System32\Drivers\zondifuu.sys');
 TerminateProcessByName('c:\windows\win7service.exe');
 DeleteFile('c:\windows\win7service.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\aewzaadb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\akjztryc.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\bqykvlvu.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\cwvhwknw.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\hkvldygo.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\jalcwlzh.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\spivzbje.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\telfmlaa.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\vefvtokd.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\vfhvtwkb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\wwtevtxk.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\wycnrukb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\yumopmvi.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-3870115716-6955661510-202539859-3924\csvcs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9729631832-7627857942-972105989-2097\mwau.exe');
 DeleteFile('C:\System Volume Information\_restore{08FEC803-7D9B-4751-AA6B-6BD703A4E0DE}\RP1\A0000059.exe');
 DeleteFile('C:\WINDOWS\system32\20.scr');
 DeleteFile('C:\WINDOWS\system32\33.scr');
 DeleteFile('C:\WINDOWS\system32\35.scr');
 DeleteFile('C:\WINDOWS\system32\77.scr');
 DeleteFile('C:\WINDOWS\system32\87.scr');
DeleteFile('c:\windows\logfile32.txt');
DeleteFile('c:\windows\mcdrive32.exe');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('c:\windows\system32\drivers\LBTWiz.exe');
DeleteFile('c:\windows\system32\i');
DeleteFile('c:\windows\system32\msvcrt2.dll');
DeleteFile('c:\windows\system32\secupdat.dat');

SetAVZPMStatus(True);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Карантин по правилам.

[NemecFD]

Сделал вроде бы все

[thyrex]

Отключите восстановление системы

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-9977290662-9927180453-299903443-7080\mwau.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0223389012-3395407254-963591198-1596\csvcs.exe');
 DeleteFile('C:\System Volume Information\_restore{08FEC803-7D9B-4751-AA6B-6BD703A4E0DE}\RP1\A0000276.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

[NemecFD]

Новые логи

[AndreyKa]

Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите обновления безопасности на Windows.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ClearQuarantine;
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\WINDOWS\w7services.exe','');
 DeleteFile('C:\WINDOWS\w7services.exe');
 ExecuteRepair(6);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[NemecFD]

лог

[AndreyKa]

Файл virusinfo_cure.zip от 8 сентября не надо было присылать. Надо было создать новый файл с текущим содержимым карантина.

[NemecFD]

я понял отсылаю

Добавлено через 17 минут

извиняюсь за невнимательность

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 70
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-1-5-21-1375451277-4674951985-619315941-7844\mwau.exe - Email-Worm.Win32.BSpread.b ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )
  2. c:\system volume information\_restore{08fec803-7d9b-4751-aa6b-6bd703a4e0de}\rp1\a0000276.scr - Backdoor.Win32.SdBot.oqa ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Trojan.Generic.2418523, AVAST4: Win32:Trojan-gen )
  3. c:\windows\win7service.exe - Email-Worm.Win32.BSpread.b ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Application.Generic.198471, AVAST4: Win32:Crypt-EXW [Trj] )
  4. c:\windows\win7service.exe - Trojan-Downloader.Win32.Pher.v ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )
  5. f:\autorun.inf - Net-Worm.Win32.Kolab.dkv ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun virus, AVAST4: BV:AutoRun-X [Wrm] )
  6. f:\recycler\s-51-9-25-3434476501-1644491938-601013333-1214\sysmngr32.exe - Trojan-Downloader.Win32.Pher.v ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )