Добрый вечер!!!
Заблокирован IE
вот логи....
Добрый вечер!!!
Заблокирован IE
вот логи....
Выполните скрипт
затем следующийКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\jjdrive32.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2395658132-6485629718-230707892-5422\wmfcgr.exe',''); QuarantineFile('C:\WINDOWS\system32\wshost32.exe',''); QuarantineFile('c:\windows\jjdrive32.exe',''); QuarantineFile('c:\windows\system32\drivers\czhrf.exe',''); TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe'); DeleteFile('c:\windows\system32\drivers\czhrf.exe'); DeleteFile('c:\windows\jjdrive32.exe'); DeleteFile('C:\WINDOWS\system32\wshost32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup'); DeleteFile('C:\RECYCLER\S-1-5-21-2395658132-6485629718-230707892-5422\wmfcgr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(11); BC_Activate; RebootWindows(true); end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот логи...
Когда делали лог Gmer после быстрого сканирования, кнопку Scan нажимали? Если нет, переделайте лог Gmer
Добавлено через 10 минут
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\lcacc.exe',''); DeleteFile('C:\WINDOWS\system32\lcacc.exe'); QuarantineFile('C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\SRVTIJDT\nemexp[1].exe',''); DeleteFile('C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\SRVTIJDT\nemexp[1].exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce'); RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman'); BC_ImportAll; ExecuteSysClean; Executerepair(3); Executerepair(4); Executerepair(6); Executerepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Последний раз редактировалось Шапельский Александр; 13.01.2010 в 00:26. Причина: Добавлено
логи
В логах чисто, что с проблемой?
нечего не изменилось((
wmfcgr.exe в папке system volume information восстанавливается так же и создает папки восстанавления системы(хотя оно отключено)
Сделайте комплект логов, + лог MBAM
вот логи
Выполнить скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\игры\спектро\NFOviewer.exe',''); QuarantineFile('D:\игры\спектро\Spectromancer.exe',''); QuarantineFile('D:\игры\спектро\Uninstall.exe ',''); QuarantineFile('D:\radmin\RADMIN22.EXE',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Удалить в MBAM
Сделайте новый лог MBAMКод:Заражено ключей реестра: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Palevo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows data serivce (Malware.Trace) -> No action taken. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражено файлов: C:\Documents and Settings\big\DoctorWeb\Quarantine\RADMIN22.EXE (Trojan.Downloader) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BM4UVIT5\61[1].exe (Backdoor.Bot) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BM4UVIT5\61[2].exe (Backdoor.Bot) -> No action taken. C:\RECYCLER\S-1-5-21-5901219830-2035016720-307100258-4726\wmfcgr.exe (Backdoor.Bot) -> No action taken. C:\RECYCLER\S-1-5-21-6221897058-2081440744-695444605-5879\wmfcgr.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\06.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\msd.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\13.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\23.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\27.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\28.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\36.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\41.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\50.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\56.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\68.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\82.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\83.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\85.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\88.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\12.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken. C:\WINDOWS\system32\nigzss.txt (Malware.Trace) -> No action taken
вот логи
заметил одну вещь, что после чистки при запускание IE все файлы появляются заново
Пофиксить в Hijack следующие строки:
Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Удалите в MBAMКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\gf.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:Заражено процессов в памяти: C:\WINDOWS\livemessn.exe (Backdoor.Bot) -> No action taken. Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows data serivce (Malware.Trace) -> No action taken. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: system32\sdra64.exe -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken. Заражено папок: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражено файлов: C:\WINDOWS\livemessn.exe (Backdoor.Bot) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RYMW1ALF\unew[1] (Backdoor.Bot) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YQG2CUAY\2krn[1].bin (Trojan.Zbot) -> No action taken. C:\WINDOWS\system32\sdra64.exe (Trojan.Zbot) -> No action taken. C:\WINDOWS\system32\45.scr (Backdoor.Bot) -> No action taken. C:\WINDOWS\Temp\tmp2.tmp (Trojan.Zbot) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
Сделайте новые логи
в корне диска C:\x5p2a1x8j5w6.exe создается этот файл
его выслать вам?
щас выложу новые логи
вот логи
карантин выслал
Выпоните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\CzhrF.exe',''); QuarantineFile('C:\WINDOWS\system32\gf.exe',''); QuarantineFile('c:\windows\gf.exe',''); TerminateProcessByName('c:\windows\gf.exe'); QuarantineFile('c:\windows\system32\drivers\czhrf.exe',''); TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6BCX8FO9\61[1].exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe',''); QuarantineFile('C:\WINDOWS\system32\31.exe',''); DeleteFile('C:\WINDOWS\system32\31.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6BCX8FO9\61[1].exe'); DeleteFile('c:\windows\system32\drivers\czhrf.exe'); DeleteFile('c:\windows\gf.exe'); DeleteFile('C:\WINDOWS\system32\gf.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce'); DeleteFile('C:\WINDOWS\system32\drivers\CzhrF.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('C:\RECYCLER\S-1-5-21-0763578256-1901158164-071002740-1575\wmfcgr.exe'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(11); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
вот логи
Отключите ПК от интернета/локалки. Удалите в MBAM
Просканируйте ПК AVPTool и Куреит (др.Веб)Код:Заражено процессов в памяти: C:\WINDOWS\system32\wshost32.exe (Trojan.Buzus) -> No action taken. C:\WINDOWS\jjdrive32.exe (Backdoor.Bot) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wshost32 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft update setup (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.Autorun.B) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken. Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. Заражено файлов: C:\WINDOWS\system32\wshost32.exe (Trojan.FakeAlert.H) -> No action taken. C:\WINDOWS\jjdrive32.exe (Backdoor.Bot) -> No action taken. C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.Autorun.B) -> No action taken. C:\Documents and Settings\big\Local Settings\Temp\123.exe (Worm.Kolab) -> No action taken. C:\Documents and Settings\big\Local Settings\Temp\401.exe (Backdoor.Bot) -> No action taken. C:\Documents and Settings\big\Local Settings\Temp\428.exe (Worm.Pavelo) -> No action taken. C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\expallmain[1].exe (Backdoor.Bot) -> No action taken. C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\nemexp[1].exe (Trojan.Buzus) -> No action taken. C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\pr3xy[1].exe (Worm.Pavelo) -> No action taken. C:\Documents and Settings\big\Local Settings\Temporary Internet Files\Content.IE5\CRE307KV\vs8[1].exe (Worm.Kolab) -> No action taken. C:\RECYCLER\S-1-5-21-3911956867-6398659803-842538812-1646\wmfcgr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
Установите ИЕ v8.00 +последние обновления на ОС
Сделайте комплект логов.
проверил всеми этими утилитами. AVP определил все эксзешники на компе как стартеры вируса и разумеется убил их. Переустановил винду и антивирусы нечего не нашли. Только выдается ошибка Svhost.exe при 3 SP. Одним словом ужас а не вирус
Уважаемый(ая) SkY86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.