Всем доброго дня!
пытался своими силами вылечить, но видимо слабоват, да и как практика показала, лихо удалять всё подозрительное ведет к ооочень плохим последствиям.
посему прикрепляю логи и очень надеюсь на вашу помощь.
Всем доброго дня!
пытался своими силами вылечить, но видимо слабоват, да и как практика показала, лихо удалять всё подозрительное ведет к ооочень плохим последствиям.
посему прикрепляю логи и очень надеюсь на вашу помощь.
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
[img]http://www.kolobok.us/smiles/artists/snoozer/likeopera_man.gif[/img]
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\rpcc.dll',''); QuarantineFile('c:\windows\system32\msyo.exe',''); QuarantineFile('C:\WINDOWS\System32\mswapi.dll',''); QuarantineFile('c:\windows\system32\mszm32.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\System32\wmldap.dll',''); QuarantineFile('C:\WINDOWS\System32\server.exe',''); QuarantineFile('C:\WINDOWS\System32\sdchost.exe',''); QuarantineFile('C:\WINDOWS\System32\nuyzrvlpna.EXE',''); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\hg543fdg.dll',''); QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winsto.exe',''); QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogan.exe',''); QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\lsass.exe',''); QuarantineFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\lsass.exe'); DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogan.exe'); DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\DOCUME~1\pnv\LOCALS~1\Temp\winsto.exe'); DeleteFile('C:\WINDOWS\System32\hg543fdg.dll'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('C:\WINDOWS\System32\nuyzrvlpna.EXE'); DeleteFile('C:\WINDOWS\System32\sdchost.exe'); DeleteFile('C:\WINDOWS\System32\server.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('c:\windows\system32\mszm32.dll'); DeleteFile('C:\WINDOWS\System32\mswapi.dll'); DeleteFile('c:\windows\system32\msyo.exe'); DeleteFile('C:\WINDOWS\System32\rpcc.dll'); DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}'); DelBHO('{B2AC49A2-94F3-42BD-F434-2604812C897D}'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21017).
Обновите базы AVZ.
Сделайте новые логи.
I am not young enough to know everything...
Bratez, скрипт сделан!
единственное, проблема была с созданием логов, пришлось все делать в безопасном режиме ибо в обынчом все в перезагруз уходило
почемуто не все лог-файлы создались и появился какой-то странный файл карантина, все отослал
Rene-gad, согласен, сейчас хожу смотрю у кого еще остались SP1-ые
Добавлено через 34 минуты
почемуто не прикрепились логи
Добавлено через 1 минуту
попытка номер 2
Добавлено через 1 минуту
не прикрепляются логи
Последний раз редактировалось gorex; 04.04.2008 в 16:47. Причина: Добавлено
[img]http://www.kolobok.us/smiles/artists/snoozer/likeopera_man.gif[/img]
Попробуйте сначала через Мой кабинет - Управление вложениями удалить старые логи.
I am not young enough to know everything...
почистил, прикрепляю
[img]http://www.kolobok.us/smiles/artists/snoozer/likeopera_man.gif[/img]
о, получилось
а файлы карантина пришли?
[img]http://www.kolobok.us/smiles/artists/snoozer/likeopera_man.gif[/img]
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] nuyzrvlpna.EXE O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] nuyzrvlpna.EXE O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://d: oo.mht!http://www.deraser.infobox.ru/x.chm::/money.exe O20 - Winlogon Notify: reset6 - C:\WINDOWS\SYSTEM32\AUHook.dll O21 - SSODL: mszm32.dll - {41611809-593E-1A07-10E5-86799F37ED87} - (no file)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\AUHook.dll'); DeleteFile('C:\WINDOWS\system32\mdmi386.exe'); DeleteFile('C:\WINDOWS\System32\wmldap.dll'); DeleteFile('C:\WINDOWS\system32\itstore.dll'); DeleteFile('C:\WINDOWS\System32\magent.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
Ввиду вновь открывшихся обстоятельств скрипт был дополнен (kps, спасибо за информацию). Так что если уже выполняли его - выполните повторно. И ждем логи.
Последний раз редактировалось Bratez; 05.04.2008 в 12:23. Причина: Добавлено
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\svchost.exe - Email-Worm.Win32.Bagle.pp (DrWEB: BackDoor.Salidol)
- c:\\windows\\system32\\auhook.dll - Email-Worm.Win32.Bagle.pn (DrWEB: Win32.HLLM.Beagle)
- c:\\windows\\system32\\itstore.dll - Trojan-PSW.Win32.Vipgsm.ap (DrWEB: Trojan.PWS.Vipgsm)
- c:\\windows\\system32\\magent.exe - Email-Worm.Win32.Bagle.pp (DrWEB: Trojan.Spambot.248
- c:\\windows\\system32\\mdmi386.exe - Email-Worm.Win32.Bagle.pm (DrWEB: Win32.HLLM.Reset)
- c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.sj (DrWEB: Trojan.DownLoader.56722)
- c:\\windows\\system32\\rpcc.dll - Trojan-Proxy.Win32.Dlena.cq (DrWEB: Win32.HLLM.Bid)
- c:\\windows\\system32\\server.exe - Backdoor.Win32.Bifrose.uw (DrWEB: BackDoor.Bifrost)
- c:\\windows\\system32\\wmldap.dll - Trojan-PSW.Win32.Agent.uv (DrWEB: Trojan.PWS.Multi)
Уважаемый(ая) gorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.