Nod 4.0 ругался на Injector других

[SmiTT]

В логах ESET NOD 4.0 значатся:

C:\Documents and Settings\SmiTT\Local Settings\Temporary Internet Files\Content.IE5\WPMRWLMR\vs8[1].exe Win32/Delf.OXF

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TO2GZ66Z\ocgfyh[1].jpg модифицированный Win32/Conficker.AE червь

C:\DOCUME~1\SmiTT\LOCALS~1\Temp\247.exe модифицированный Win32/Injector.AMY троянская программа

Что то тухловато он их удаляет, выкладываю логи согласно правилам (AVZ ничего не нашел, соотв-но логов не создано в архиве)

[snifer67]

(AVZ ничего не нашел, соотв-но логов не создано в архиве)

Ищите в папке LOG архивы virusinfo_syscure.zip,virusinfo_syscheck.zip. Если найдете, прикрепите их.

[SmiTT]

Нашел, прикрепил. К сожалению после проверки в безопасном режиме снова ESET выругался на

PHP код:

C:\WINDOWS\system32\x    модифицированный Win32/Conficker.AE червь    очищен удалением - изолирован    NT AUTHORITY\SYSTEM    Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\svchost.exe. 


[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[SmiTT]

Файл сохранён как 100103_215957_virus_4b40e92d71bf3.zip
Размер файла 421
MD5 db95c8af72a05aa695b85cdef0b7608f

Но забыл отключить nod, возможно он почистил файл карантина. При архивировании было написано "Очищен удалением\изолирован"

Я отключил nod и переархивировал, но не известно сохранился ли вирус.

Если чтото не так - скажите с какого шага повторить.
Спасибо.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-4415819264-5807241795-683044747-2195\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[SmiTT]

Файл сохранён как 100103_225039_virus_4b40f50f94ca1.zip
Размер файла 1053
MD5 efedabce660e484d9840df5bc97371a8

Новые логи:

[SmiTT]

Тем временем NOD выругался на:

C:\windows\jjdrive32.exe IRC/SdBot троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: D:\Soft\Outpost\acs.exe.

Напомню что система установлена сегодня

[Никита Соловьев]

Отключите антивирус/сетевой экран

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-8688596346-7302128588-610287602-2565\wmfcgr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-8688596346-7302128588-610287602-2565\wmfcgr.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы.

Сделайте новые логи

[SmiTT]

Файл сохранён как 100103_230708_quarantine_4b40f8ec1aa62.zip
Размер файла 84968
MD5 ce22eb9a45647ff1ed9eb3aead011f17

ESET NOD 4.0 жалуется на все новые инфицированные файлы:

PHP код:

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe    модифицированный Win32/Injector.AMY троянская программа    очищен удалением - изолирован    SMITT-682E9B308\SmiTT 


PHP код:

C:\WINDOWS\system32\umdmgr.exe    модифицированный Win32/Injector.AKN троянская программа    очищен удалением - изолирован    SMITT-682E9B308\SmiTT 


Новые логи:

[SmiTT]

Почему все молчат? =)

[snifer67]

Установите SP3(может потребоваться активация)+все последующие обновления.

Сделайте новые логи.

[SmiTT]

Установите SP3(может потребоваться активация)+все последующие обновления.

Сделайте новые логи.

Установил SP3.
После перезагрузки NOD выругался на:

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe модифицированный Win32/Injector.AMY троянская программа очищен удалением - изолирован

C:\WINDOWS\system32\wshost32.exe модифицированный Win32/Injector.AKN троянская программа очищен удалением - изолирован

Новые логи:

[SmiTT]

Также найден:

04.01.2010 1233 Защита в режиме реального времени файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TO2GZ66Z\xlwypp[1].bmp Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214\wmfcgr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Сделайте новые логи(когда делаете логи антивирус надо отключать).

[SmiTT]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214\wmfcgr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-9814573246-3664664051-937316094-6214', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Сделайте новые логи(когда делаете логи антивирус надо отключать).

Выполнил, до этого в безопасном режиме проверял при помощи CureIt. Найдены были трояны.

Логи:

[snifer67]

Чисто

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить

Установите IE8

[SmiTT]

Чисто

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить

В безопасном режиме?

[snifer67]

В обычном режиме.

[SmiTT]

Сделано, благодарю за помощь. Надеюсь все будет в порядке