много троянов.

[zuzya]

на компьютере нод32.
при заходе на одну из страниц вывалилось сообщение "Your computer was infected by unknown trojan ".
после этого начли загружаться бесчисленные окна.
троянов убиваю раз по 10 в день но образуются вновь.
не убиваем вроде тока этот процесс C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe.
как с этим всем бороться уже не знаю)
помогите

[akok]

А где лог virusinfo_syscure.zip?

Добавлено через 4 минуты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('wowfx.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ttn25.sys','');
 QuarantineFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
 QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
 QuarantineFile('Alce49.sys','');
 QuarantineFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 QuarantineFile('c:\docume~1\vika\locals~1\temp\services.exe','');
 DeleteFile('c:\docume~1\vika\locals~1\temp\services.exe');
 DeleteFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll');
 DeleteFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll');
 DeleteFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll');
 DeleteFile('C:\WINDOWS\system\hipsrv.mm');
 DeleteFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe');
 DeleteFile('wowfx.dll');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19183

Добавлено через 2 минуты

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Run: [Streams Drivers] C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Vika\LOCALS~1\Temp\service s.exe
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

Повторите логи...

[zuzya]

в папке avz4\LOG ток 1 архив был =\
ща сделаю
еще. F2 не стираем. побовала уже.

[akok]

После скрипта должен дать

[zuzya]

вирус закачен.
вот лог.

[zuzya]

вот еще забыла)

[Bratez]

Карантин пуст, в логах все на месте.

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
 BC_QrFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe');
 BC_QrFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 BC_QrFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll');
 BC_QrFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll');
 BC_QrFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll');
 BC_QrFile('C:\WINDOWS\System32\Drivers\Alce49.sys');
 BC_QrFile('C:\WINDOWS\system\hipsrv.mm');
 BC_QrFile('C:\WINDOWS\System32\CcEvtSvc.exe');
 BC_QrFile('C:\WINDOWS\System32\Drivers\Ttn25.sys');
 BC_DeleteFile('C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe');
 BC_DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 BC_DeleteFile('C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll');
 BC_DeleteFile('C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll');
 BC_DeleteFile('C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Alce49.sys');
 BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
 BC_DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ttn25.sys');
 BC_DeleteSvc('Ttn25');
 BC_DeleteSvc('NdisWon');
 BC_DeleteSvc('CcEvtSvc');
 BC_DeleteSvc('Alce49');
 BC_DeleteSvc('hipsrv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Vika\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: DrvMon - {06459882-645a-4458-b359-a04356322015} - C:\WINDOWS\Installer\{06459882-645a-4458-b359-a04356322015}\DrvMon.dll
O21 - SSODL: AvpChk - {81df1ce0-73cb-439c-a39e-dff2c1e90ebe} - C:\WINDOWS\Installer\{81df1ce0-73cb-439c-a39e-dff2c1e90ebe}\AvpChk.dll
O21 - SSODL: zip - {4ccb8a07-99ab-4dd2-a8a4-3efc55991618} - C:\WINDOWS\Installer\{4ccb8a07-99ab-4dd2-a8a4-3efc55991618}\zip.dll

Сделайте новые логи.

[zuzya]

Ж) помоему services.exe пофиксен)))
и сure появился)

карантин отправлен)

[Bratez]

Отличный результат, осталось совсем чуть-чуть.
Выполните скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{a952c4f2-5964-4148-8ce5-701ca4681c32}\zip.dll','');
DeleteFile('C:\WINDOWS\Installer\{a952c4f2-5964-4148-8ce5-701ca4681c32}\zip.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Поищите wowfx.dll через AVZ - Сервис - Поиск файлов на диске.
Если найдется - добавьте в карантин.
Пришлите карантин по правилам.

[zuzya]

ваще)) супер!!
большое большое вам спасибо)))))))))

Поиск файлов по маске wowfx.dll
найдено 0

вирус отправлен

[zuzya]

на всяк скину еще логи

[Макcим]

В логах всё нормально. Проблема решена?

[zuzya]

решена))
большое вам спасибо))
вы лучшие

[Макcим]

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 15
• В ходе лечения вредоносные программы в карантинах не обнаружены