Они загружают процессор на 100%
Прошу посмотреть
Они загружают процессор на 100%
Прошу посмотреть
Последний раз редактировалось akalibr; 27.07.2010 в 18:23.
Поехали -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\system32\userini.exe'); QuarantineFile('c:\windows\explorer.exe:userini.exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',''); QuarantineFile('C:\Documents and Settings\1\Application Data\yftza.exe',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\1\csrss.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('C:\Documents and Settings\1\csrss.exe'); DeleteFile('C:\Documents and Settings\1\Application Data\yftza.exe'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('c:\windows\explorer.exe:userini.exe'); DelAutorunByFileName('C:\WINDOWS\system32\userini.exe'); DelAutorunByFileName('C:\Documents and Settings\1\Application Data\yftza.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Повторите логи, отпишитесь о состоянии.
Добавлено через 2 минуты
На заметку - вот с этим - Windows XP SP2, Internet Explorer v6.00 SP2, мы Вас вылечем где-то на пару дней, обновлять надо срочно.
Последний раз редактировалось olejah; 10.07.2010 в 09:52. Причина: Добавлено
Дополнительно к совету Olejah сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин выслал и логи подцепил
Последний раз редактировалось akalibr; 27.07.2010 в 18:23.
А рекомендацию thyrex?
Добавлено через 6 минут
Живучие гады -
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('F:\PAZI\avtomat.exe',''); QuarantineFile('F:\autorun.inf',''); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\1\csrss.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip2 из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
И приложите лог mbam.
Последний раз редактировалось olejah; 10.07.2010 в 13:03. Причина: Добавлено
карантин и логи выслал
Последний раз редактировалось akalibr; 27.07.2010 в 18:23.
лог mbam будет позже
Пока ждём лог mbam -
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('F:\autorun.inf'); DeleteFile('F:\PAZI\avtomat.exe'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\oeejwmrxe'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\oeejwmrxe\Parameters'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вот все логи
Последний раз редактировалось akalibr; 08.09.2010 в 15:49.
Ага, всплыли красавцы -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('RTIFDH'); QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys',''); QuarantineFile('C:\WINDOWS\TEMP\zezutctafhr.sys',''); QuarantineFile('C:\WINDOWS\system32\bjdpz.dll',''); DeleteFile('C:\WINDOWS\system32\bjdpz.dll'); DeleteFile('C:\WINDOWS\TEMP\zezutctafhr.sys'); DeleteService('jzywviufqdwss'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine3.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip'); end.
И ещё пожалуйста, логи + лог mbam, надо убедиться, что выживших не осталось.
карантин, логи, mbam позже
...а вот лог mbam
Последний раз редактировалось akalibr; 08.09.2010 в 15:49.
Было - Windows XP SP2, Internet Explorer v6.00 SP2, а стало - Windows XP SP3 Internet Explorer v8.00 (8.00.6001.18702), Вы успели уже обновлений накатить? По логам АВЗ зверьё вымерло, ждём mbam.
вот лог mbam
что скажите?
Последний раз редактировалось akalibr; 08.09.2010 в 15:49.
прошу посмотреть
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\WINDOWS\Temp\~TM17.tmp',''); QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\AW5ZF6DF\update[1].exe',''); end.
Удалите в МВАМ
Проверьте наличие файла grpconv.exe в папке C:\WINDOWS\system32.Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. Зараженные папки: C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken. C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken. Зараженные файлы: C:\Documents and Settings\1\DoctorWeb\Quarantine\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken. C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\AW5ZF6DF\update[1].exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\~TM17.tmp (Trojan.Dropper) -> No action taken. C:\Documents and Settings\1\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
В случае отсутствия восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин выслал, файл заменил, спасибо
Добавлено через 2 часа 15 минут
может быть еще какой- нибудь лог сделать?
Последний раз редактировалось akalibr; 10.07.2010 в 21:51. Причина: Добавлено
Давайте наверное для убедительности ещё разок mbam пройдёмся. Если интересно в карантине было - C:\WINDOWS\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fkl
C:\WINDOWS\Temp\~TM17.tmp - Backdoor.Win32.Bredolab.fkl
вот он лог, поглядите
Последний раз редактировалось akalibr; 08.09.2010 в 15:49.
Удалите
Код:C:\temp\avz4\Quarantine\2010-07-10\avz00001.dta (Trojan.Dropper) -> No action taken. C:\temp\avz4\Quarantine\2010-07-10\avz00002.dta (Trojan.Dropper) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\1\application data\yftza.exe - Email-Worm.Win32.Iksmas.hsz ( DrWEB: Trojan.MulDrop1.36133, BitDefender: Win32.Worm.TSU, AVAST4: Win32:Bredolab-DJ [Trj] )
- c:\documents and settings\1\csrss.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )
- c:\windows\explorer.exe:userini.exe - Email-Worm.Win32.Joleee.ezl ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezl ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.ezl ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )
- c:\windows\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fkl ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4481817, AVAST4: Win32:Bredolab-DJ [Trj] )
- c:\windows\temp\~tm17.tmp - Backdoor.Win32.Bredolab.fkl ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4481817, AVAST4: Win32:Bredolab-DJ [Trj] )
- f:\pazi\avtomat.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )
Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.