Помогите разобраться с логами

[vegas]

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('DpTaGQfKJTIk.dll','');
 DeleteFile('DpTaGQfKJTIk.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AuduoServic\Parameters','ServiceDll');
 DelCLSID('{00020d75-0000-0000-c000-000000000046}');
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 RebootWindows(true);
end.

Закачайте карантин. Логи повторите. Файлы в папке iIpc больше не появляются?

Можете мне сказать источник заражения

Нет, это я вам сказать не могу, потенциальных источников заражения очень много, в данном случае им вполне мог быть удаленный бэкдор winhelp32. А вообще про безопасность здесь почитайте http://virusinfo.info/showthread.php?t=30339

[VlaDos]

Почему иногда входишь на сайт (типа привет, спасибо что за шли). Пишешь сообщение, прикрепить файлы, а тут окно "вы не авторизированны" - это что? и как понимать?

[VlaDos]

vegas все сделал, карантин загрузил. В папке iIpc сидит (A023 ехе). Я посмотрел в карантине DpTaGQfKJTk.dll. Если не трудно выложите скрипт на устранение вот этого:
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-26
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику. По поводу служб не знаю пока (нужны или нет). И как вернуть все на место в случае сбоя.И если не затруднит ссылку на то где обычно прописываются вирусы и т.д. в реестре (для поиска и удаления). Чем или как узнать место нахождения ключей реестра той или иной программы, dll-ки. Неужели антивирусы которые себя так рекламируют не в состоянии замочить эту нечесть. Спасибо заранее. Вот логи:

[Rene-gad]

Если не трудно выложите скрипт на устранение вот этого

AVZ//Файл//Мастер поиска и устранения проблем - там всё найдёте

И как вернуть все на место в случае сбоя.

Там же закладка Восстановить изменения

Чем или как узнать место нахождения ключей реестра той или иной программы, dll-ки.

- Сделайте лог полного сканирования MBAM.

[VlaDos]

Rene-gad спасибо за ответ. Лог MBAM я выкладывал и сейчас смотрел он девственночист( за исключением патча к програме Ad Muncher).

Добавлено через 4 минуты

А может произойти сбой драйверов после устранения проблем AVZ?. До этого как снести систему у меня возникли проблемы с определением флешустройств на Висте. При подключении флеш требовалось форматирование устройства. А на ХР все читалось без проблем.

[VlaDos]

Специалисты! Сегодня опять проявилась активность А002.ехе, совпадает со вчерашней активностью. т.е. весь день "тихо" а в одно и то же время происходит активность (может совпадение). открыл в Тотал Коммандер и посмотрел свойства файлов Lister (после активности появились новые и самый интересный J002 .exe (IP Configuration Utility)). Выкладываю 2-а текстовых документа (коппии) и скрины из тотал командер. Может это вам как то поможет.

[thyrex]

Пролечитесь так http://virusinfo.info/showpost.php?p=306441&postcount=2

[VlaDos]

Проличился

Пролечитесь так http://virusinfo.info/showpost.php?p=306441&postcount=2

DrWeb нашел и удалил:
C:/Users/IGOR/Desktop/WinHelp32.exe
C:/Windows/System32/iIpc/H001.exe
C:/Windows/System32/iIpc/J002.exe
А вот A023.exe не увидел су..а. И что делать, чем искать. Пипеццццццц

[vegas]

Найдите эти файлы в АВЗ (п.2 Приложения в Правилах) и закачайте. Посмотрим на них поближе

[VlaDos]

vegas закачал папку virus.Блин, посмотрел по отчету Каспера. Он уже столько грохнул всякой гадости в папке iIpc. Значит сидит где то сволочь и подгружает контент с вирями в инете. Если переустановить систему это будет надежной очисткой или как??????????????. Но хочется все таки найти и обезвредить "причину".

[thyrex]

Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1

[VlaDos]

Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1

вот лог:

[thyrex]

Проверьтесь этим http://support.kaspersky.ru/viruses/...?qid=208636926

[VlaDos]

Всем привет! Это какой то кошмар. В папке Sys32 появилось 110"левых",но пока пустых папок. В Content.IE5 3-и папки в каждой по 3-и файла А027.ехе[1] -[3]. Ни одна программа которую советовали не видит это га.но.(ни один антивирус). Что это такое вооюще у меня поселилось,кто-нибудь может мне ответить? За 8-мь лет у меня это первый раз такое. Обычно помогали Веб или КАВ.

[snifer67]

Делайте новые логи.

[VlaDos]

сейчас попробывал AVZ поискать открытые порты. Успел сделать скрин порта который появляется на мгновение и прячется
Порт ТСР 49169 Статус (ESTABLISHED) Remote Host (61.160.217.192) Remote port (21) Приложение (c;\windows\sys32\svchost.exe)

Добавлено через 1 минуту

какие? все тормозит, затруднительно что то сделать.

[VlaDos]

карантин загрузил,вот новые логи:

[thyrex]

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\Windows\system32\uidrunsrv.dll','');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[VlaDos]

thyrex скрипт выполнил, карантин загрузил

[thyrex]

uidrunsrv.dll - новый зловред Trojan-Downloader.Win32.FraudLoad.wwlx

Выполните скрипт в AVZ

Код:

begin
DeleteFile('C:\Windows\system32\uidrunsrv.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\UidSrv\Parameters','ServiceDll');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip