Здравствуйте!
Установлен ДрВеб, но всеравно какая то зараза пролезла. Спайдер постоянно удаляет Trojan.DownLoader.59067 .....
Здравствуйте!
Установлен ДрВеб, но всеравно какая то зараза пролезла. Спайдер постоянно удаляет Trojan.DownLoader.59067 .....
Последний раз редактировалось aqua; 28.05.2008 в 13:40.
Многовато накопилось. Может Доктор у Вас старой версии?
Выполнить:
Прислать карантин, сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\E8AFA062.exe',''); QuarantineFile('C:\58B0156C.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\сsrss.exe',''); QuarantineFile('C:\WINDOWS\system32\winsos.exe',''); QuarantineFile('C:\WINDOWS\system32\winsn.exe',''); QuarantineFile('C:\WINDOWS\system32\mms32swasw.dll',''); QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll',''); QuarantineFile('C:\WINDOWS\system32\djki397g.dll',''); QuarantineFile('C:\WINDOWS\pxgdslro.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); SetServiceStart('Google Online Services', 4); StopService('Google Online Services'); QuarantineFile('c:\windows\system32\yrinuhkp.exe',''); QuarantineFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe',''); QuarantineFile('c:\windows\system32\shovth.exe',''); QuarantineFile('c:\documents and settings\winxp\ie_updates3r.exe',''); DeleteFile('c:\documents and settings\winxp\ie_updates3r.exe'); DeleteFile('c:\documents and settings\all users\application data\ylansxcl\ybevolqz.exe'); DeleteFile('c:\windows\system32\yrinuhkp.exe'); DeleteFile('C:\WINDOWS\pxgdslro.dll'); DeleteFile('C:\WINDOWS\system32\djki397g.dll'); DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll'); DeleteFile('C:\WINDOWS\system32\mms32swasw.dll'); DeleteFile('C:\WINDOWS\system32\winsn.exe'); DeleteFile('C:\WINDOWS\system32\winsos.exe'); DeleteFile('C:\WINDOWS\system32\сsrss.exe'); DeleteFile('C:\58B0156C.exe'); DeleteFile('D:\E8AFA062.exe'); DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}'); DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да нет, лицензия и свежие базы. Сам в шоке ((
Я скрипт написал, см. выше.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал. Сам комп не перезагрузился, пришлось резетнуть. После перезагрузки диски не открываются, тапа выбирете программу, хотя через Пуск Выполнить Обзор нормально работает.
Последний раз редактировалось aqua; 28.05.2008 в 13:40.
Выполни след. скрипт:
Пришли карантин. На предыдущий подождем ответа аналитиков.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\dnserv.dll',''); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
На всякий случай приготовься использовать Winsockxpfix.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал. Ок ждем.
'C:\WINDOWS\System32\dnserv.dll' - Trojan-PSW.Win32.Agent.aks по Касперскому.
Пароли, скорее всего, ушли на сторону.
Напишу скрипт для удаления этой гадости. До него надо записать настройки сети,
После него пропадет Инет и надо прогнать winsockspfix и заново настроить сетку.
Добавлено через 1 минуту
Вот скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\dnserv.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 26.05.2008 в 18:33. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Так, после скрипта комп не грузится, Windows ругается типа "Сбой удаленный вызов процедур RPC" и дает отсчет времени до перезагрузки.....
В безопасном режиме аналогичная ситуация.
Значит, надо делать возврат к последней успешной конфигурации.
Это очень печально.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Удалось загрузится. На рабочем столе пусто, три волшебные клавиши работают. Что делать дальше????
Пилюля №5 из "Восст. системы" в AVZ должна помочь с рабочим столом.
После этого делать новые логи, будем смотреть что получилось.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Локальная загрузка профиля приводит к перезагрузке с отсчетом времени.
Удалось подключится через удаленный рабочий стол, профиль грузится с кучей ошибок, все интернет приложения, при выходе в интернет падают в корку. Вот прилагаю логи которое удалось сделать.
З.Ы. Восстановление системы №5 пока не делал.
З.Ы.Ы. Сейчас пока комп включен сожрало все место свободное на диске С:
Последний раз редактировалось aqua; 28.05.2008 в 13:40.
Winsockxpfix применял? Очень похоже что нет.
Есть вероятность того, что повредился профиль.
Еще и звери остались
Присылай следующих, если попадут в карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); QuarantineFile('C:\WINDOWS\nldfmtappdm.dll',''); QuarantineFile('C:\WINDOWS\system32\ezwfivsx.exe',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\ezwfivsx.exe'); DeleteFile('C:\WINDOWS\nldfmtappdm.dll'); DeleteFile('C:\WINDOWS\system32\vedxga3me2.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот новые логи. Карантин отправил. Winsockxpfix сделал. Интернет как бы не работает, страницы не открываются.
Последний раз редактировалось aqua; 28.05.2008 в 13:40.
Логи делал до Winsockxpfix или после? Такое ощущение, что он не сработал.
Попробуй сделать в AVZ восст. системы п.15, а после него п.18.
Настройки надо будет прописать заново.
Для прочистки от мусора:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\gwin32.dll'); DelBHO('{FFFFFFFF-85A3-452b-B7A8-759AD9B42162}'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось PavelA; 27.05.2008 в 15:24.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После этих процедур интернет заработал. Что дальше делать?
Профиксить:
Сделать логи с п.10 Правил.Код:O2 - BHO: WRL Advisor - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll (file missing) O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - gwin32.dll (file missing)
Рабочий стол восстановился?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Рабочий стол в порядке. Ошибки при загрузке пропали. Только СМТП потоки идут по полной процессом services.exe
Последний раз редактировалось aqua; 28.05.2008 в 13:40.
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Уважаемый(ая) aqua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.