Страный Трафик Часть 2

[Анапчанен]

эх опять я теперь вообще фиг знаеш что. касперский отказывается проверять компьютер! нажимаю полную проверку а он 1% и всё. и на компе 100% есть вирус или даже многа сёдня было такое, врубил инет он написал скачать фаел с www.google.com.ua маленький какойта 78кб я отменил, и пошол начал тормозить комп на рабочем столе стали пооявлтся всякие файлы один из них был exe расширения svchost_t что-та в этом роде! и нашол вирус троян давенлодер. вот логи и всёравно начел качать чтота с инета

[Rene-gad]

Пофиксите

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\hfrm472.exe"
O2 - BHO: 158117 helper - {427b1fd8-2123-4334-a7d8-7a497363914b} - C:\WINDOWS\system32\158117\158117.dll (file missing)
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe (file missing)
O23 - Service: Google Online Services - Unknown owner - C:\Documents and Settings\LENA\ie_updates3r.exe

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\winlogon.exe');
 TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
 TerminateProcessByName('c:\documents and settings\lena\ie_updates3r.exe');
 DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
 DelBHO('{427b1fd8-2123-4334-a7d8-7a497363914b}');
 DeleteService('CcEvtSvc');
 DeleteService('Google Online Services');
 QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
 QuarantineFile('C:\WINDOWS\system32\158117\158117.dll','');
 QuarantineFile('C:\WINDOWS\herjek.exe','');
 QuarantineFile('C:\WINDOWS\system32\hfrm472.exe','');
 QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe',''); 
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\LENA\ie_updates3r.exe','');
 QuarantineFile('c:\windows\winlogon.exe',''); 
 QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
 QuarantineFile('c:\documents and settings\lena\ie_updates3r.exe','');
 DeleteFile('c:\documents and settings\lena\ie_updates3r.exe');
 DeleteFile('c:\windows\system32\drivers\svchost.exe');
 DeleteFile('c:\windows\winlogon.exe');
 DeleteFile('C:\Documents and Settings\LENA\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
 DeleteFile('C:\WINDOWS\system32\hfrm472.exe');
 DeleteFile('C:\WINDOWS\herjek.exe');
 DeleteFile('C:\WINDOWS\system32\158117\158117.dll');
 DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки закачайте карантин тут , повторите 3 лога.
PS: Если и Вы и дальнейшем собираетесь лазить с Интернет Эксплорером, непатченой системой и устаревшей Джавой где ни попадя - скажите это сразу нам: получите в нашей больнице одельную палату со спецпайком

[Анапчанен]

Файл сохранён как080530_132912_virus_484047784243e.zip воть. new логи щас делать буду вот думаю какой браузер защищеней? а джаву скачаю. а вот с виндоусом я не понял мне новый надо? или как его пропатчить у меня пиратка

делая п.8 я наткнулся на вирусы я их давно ещё видел и я их Delete вот они

C:\Program Files\Audiosurf\engine\channels\MusicBrainz_FetchC D.dll >>> подозрение на Trojan-Downloader.Win32.Small.dxv ( 0BA4E83C 03850A14 003DF1D0 003DF1D0 31744)
Файл успешно помещен в карантин (C:\Program Files\Audiosurf\engine\channels\MusicBrainz_FetchC D.dll)
C:\Program Files\DivX\DivX Converter\dpil100.dll >>> подозрение на AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)
Файл успешно помещен в карантин (C:\Program Files\DivX\DivX Converter\dpil100.dll)

вот ещё какойта странный его тоже делет!

C:\WINDOWS\system32\H@tKeysH@@k.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll удаление запрещено настройкой

а вот другие трояны я так понел они в реестре,туда суватся я боюсь

щас пришлось новый лог делать.

[Анапчанен]

ну вот. в этот ра чёд долго было

[Rene-gad]

Системное восстановление нужно отключать и не включать до конца терапии!!!
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('sywtdxaz');
 QuarantineFile('C:\Documents and Settings\LENA\Мои документы\wzombi\wzombi\keygen.exe','');
 QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP164\A0116814.DLL','');
 QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP233\A0155475.exe','');
 QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP243\A0161417.dll','');
 QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162572.dll','');
 QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162573.dll','');
 QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162574.DLL','');
 QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
 DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162574.DLL');
 DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162573.dll');
 DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162572.dll');
 DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP243\A0161417.dll');
 DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP233\A0155475.exe');
 DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP164\A0116814.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки закачайте карантин тут , повторите 3 лога.

вот думаю какой браузер защищеней?

Mozilla Firefox, Sea Monkey, Opera - хоть все три вместе.

а джаву скачаю

Это хорошо

а вот с виндоусом я не понял мне новый надо? или как его пропатчить у меня пиратка

Пропатчить надо обязатально.По-моему СП3 можно в оффлайне и в Вашем варианте поставить, но ИМО потербуется новая активация.

[Анапчанен]

ну вот вроде нечего нет, ещё раз спасиба вам

[Rene-gad]

Где карантин? Почему Джаву не обновили - оно активации не требует?

[Анапчанен]

забыл написать! какой карантин? за сегодннешний? или вчерашний? а джаву чёт найти немагу =(
джаву нашол по вашей сылке, в старой теме.

[Rene-gad]

забыл написать! какой карантин? за сегодннешний? или вчерашний?

Все, какие создались в папке QUARANTINE