Боюсь что формат С: только поможет ...
Логи прикрепляю.
При проверке АВЗ появились папка Infected и Quarantin. Их выкладывать ?
Куча троянов :(
Боюсь что формат С: только поможет ...
Логи прикрепляю.
При проверке АВЗ появились папка Infected и Quarantin. Их выкладывать ?
Последний раз редактировалось Luka_; 17.03.2008 в 15:40.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ох и коллекция
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('PlugPlayRasMan', 4); SetServiceStart('Schedule', 4); SetServiceStart('diperto470e-3556', 4); SetServiceStart('Tte88', 4); SetServiceStart('taskmon.sys', 4); SetServiceStart('Googles Onlines Search Services', 4); StopService('diperto470e-3556'); StopService('taskmon.sys'); StopService('Schedule'); StopService('PlugPlayRasMan'); StopService('Googles Onlines Search Services'); QuarantineFile('C:\WINDOWS\drnpfdxrgq.dll',''); QuarantineFile('winmed.exe',''); QuarantineFile('sysfldr.dll',''); QuarantineFile('kdrjh.exe',''); QuarantineFile('crypts.dll',''); QuarantineFile('C:\WINDOWS\shell.exe',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\spoolvs.exe',''); QuarantineFile('C:\WINDOWS\system32\smsk387.exe/r',''); QuarantineFile('C:\WINDOWS\system32\printer.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\mrofinu27.exe',''); QuarantineFile('C:\WINDOWS\bokpkov.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tte88.sys',''); QuarantineFile('C:\WINDOWS\system32\taskmon.sys',''); QuarantineFile('C:\WINDOWS\system32\diperto470e-3556.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\system32\appmgra.exe',''); QuarantineFile('C:\WINDOWS\system32\wnslogan.exe',''); QuarantineFile('C:\WINDOWS\Help\oqtxde.chm',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\msram.dll',''); QuarantineFile('C:\WINDOWS\altvxvm.dll',''); DeleteFile('C:\WINDOWS\altvxvm.dll'); DeleteFile('C:\WINDOWS\system32\msram.dll'); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\Help\oqtxde.chm'); DeleteFile('C:\WINDOWS\system32\wnslogan.exe'); DeleteFile('C:\WINDOWS\system32\appmgra.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\diperto470e-3556.sys'); DeleteFile('C:\WINDOWS\system32\taskmon.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tte88.sys'); DeleteFile('C:\WINDOWS\bokpkov.dll'); DeleteFile('C:\WINDOWS\mrofinu27.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\WINDOWS\system32\spoolvs.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\system32\wowfx.dll'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\shell.exe'); DeleteFile('crypts.dll'); DeleteFile('kdrjh.exe'); DeleteFile('sysfldr.dll'); DeleteFile('winmed.exe'); DeleteFile('C:\WINDOWS\drnpfdxrgq.dll'); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\ieupdater[1].exe'); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\ie_updates3r.exe'); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\wnslogan.exe'); DelBHO('{B3A00219-19D4-4966-AECD-8ED34AB9EF7A}'); DelBHO('{31BE1B95-DE72-41F3-A6AD-3E38648CA2D8}'); DeleteService('taskmon.sys'); DeleteService('PlugPlayRasMan'); DeleteService('Googles Onlines Search Services'); DeleteService('diperto470e-3556'); DeleteService('Schedule'); BC_ImportALL; ExecuteRepair(8); ExecuteRepair(16); BC_DeleteSvc('Tte88'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19949
Добавлено через 3 минуты
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логиКод:O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll O20 - Winlogon Notify: crypt - crypts.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll O21 - SSODL: bokpkov - {638C3079-960A-4DDC-B2BD-32D56E706476} - C:\WINDOWS\bokpkov.dll (file missing) O21 - SSODL: altvxvm - {06F63D7C-A569-4414-A35F-B631A4C37CC6} - C:\WINDOWS\altvxvm.dll
Последний раз редактировалось akoK; 17.03.2008 в 09:51. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Файл сохранён как080317_022929_virus_47de1dd9bae6e.zipРазмер файла10843MD5de189dd0eec13b1d7ff21a645915b9c6
Логи прикрепляю.
Последний раз редактировалось Luka_; 17.03.2008 в 15:40.
Отключите востановление системы!!!
Добавлено через 1 минуту
Вам это знакомо?
Добавлено через 4 минутыКод:85.255.112.75 85.255.112.75-xbox.dedi.inhoster.com Хост доступен, в среднем 1695 мсек 85.255.112.0 - 85.255.127.255 UkrTeleGroup Ltd. Ukraine Andrew Sotov Mechnikova 58/5 65029 Odessa phone: +380631508855 Andrew Sotov Mechnikova 58/5 65029 Odessa phone: +380631508855 UkrTeleGroup Источник: whois.ripe.net
Почти все прибили
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('oqtxde', 4); StopService('oqtxde'); QuarantineFile('C:\WINDOWS\Help\oqtxde.chm',''); QuarantineFile('C:\WINDOWS\system32\smsk387.exe',''); DeleteFile('C:\WINDOWS\Help\oqtxde.chm'); DeleteFile('wowfx.dll'); DeleteFile('C:\System Volume Information\_restore{DEE9901B-BFA6-4A52-A9DE-C88BCB1D084F}\RP126\A0023528.exe'); DeleteFile('C:\System Volume Information\_restore{DEE9901B-BFA6-4A52-A9DE-C88BCB1D084F}\RP126\A0023529.exe'); DeleteFile('C:\System Volume Information\_restore{DEE9901B-BFA6-4A52-A9DE-C88BCB1D084F}\RP126\A0023530.exe'); DeleteService('oqtxde'); SysCleanAddFile('wowfx.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19949
Добавлено через 3 минуты
Повторите логи с п.10 Правил
Последний раз редактировалось akoK; 17.03.2008 в 10:53. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Файл сохранён как 080317_030424_virus_47de260861706.zipРазмер файла11977MD5707d6ae41ef74cf5f51b7c4492f09cbe
Восстановление системы было отключено сразу после проверки на вирусы.
Код:
85.255.112.7585.255.112.75-xbox.dedi.inhoster.comХост доступен, в среднем 1695 мсек85.255.112.0 - 85.255.127.255UkrTeleGroup Ltd.UkraineAndrew SotovMechnikova 58/5 65029 Odessaphone: +380631508855Andrew SotovMechnikova 58/5 65029 Odessaphone: +380631508855UkrTeleGroupИсточник: whois.ripe.net
Это не знакомо вообще
Скрипт выполене, логи выкладываю .
Последний раз редактировалось Luka_; 17.03.2008 в 15:40.
Ага значит сносим
ДаВозможно прийдется востановить свои настройкиO17 - изменения домена или DNS сервера.
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 1 минутуКод:O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.72 85.255.112.75 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.72 85.255.112.75 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.72 85.255.112.75 O17 - HKLM\System\CCS\Services\Tcpip\..\{C7659298-181A-480D-9F7A-55EB99D8ED0D}: NameServer = 85.255.114.72,85.255.112.75
В карантин не попало
Найдите при помощи AVZ C:\WINDOWS\system32\smsk387.exe и пришлите по правилам.
Последний раз редактировалось akoK; 17.03.2008 в 11:20. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Строчки пофиксил. Доменные записи остались, зловредов удалил.
Файл не найден. Дальнейшие действия ?
лог hijackthis
Смотрим какие проблемы еще остались
Microsoft Most Valuable Professional in Consumer Security
ВыкладываюСообщение от akoK
Последний раз редактировалось Luka_; 17.03.2008 в 15:40.
Luka_, Вы фиксили что-то, кроме того, что Вам предложил akoK?
Нет.
Как система?
Пользователь пока не жалуется, каспер не ругается. Если что выскочит сегодня завтра - напишу..
Уважаемый(ая) Luka_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
