Извиняюсь за беспокойство.
Антивирус толком не работает, вот и нахватался.
Как обычно, помогите.
Извиняюсь за беспокойство.
Антивирус толком не работает, вот и нахватался.
Как обычно, помогите.
Последний раз редактировалось andrew70; 10.06.2008 в 09:48.
Отключите антивирус и интернет!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\nc6120\LOCALS~1\Temp\csrssc.exe O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O17 - HKLM\System\CCS\Services\Tcpip\..\{1C0B8091-AB3B-45AA-AB59-E468A0B66953}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{203B320B-0522-40B2-B048-C7CF553D6DAF}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{513D7A85-1CF2-4BC4-8436-BB91726AE4E6}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{5526C6D1-4BE3-46B9-93B2-55E435633637}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{768B005E-D353-46FA-A91A-6089F77EE63A}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{7EED329B-9682-4D7B-B257-AE495038B8B0}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{8ABEEE67-DAD4-44FB-8D91-C00D52D77F58}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C9E7DB-93DD-4DDD-A114-481BA292AF52}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{E2F13335-FE9D-4A68-9C7B-2F2B2331F82F}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\..\{E8C61F8D-8A87-4841-8B90-4735BD7663E8}: NameServer = 85.255.116.60,85.255.112.86 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.60 85.255.112.86 O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Пришлите карантин,повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\loader.exe',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{81DBAB16-CA34-c433-BE80-11E6692428A8}'); QuarantineFile('csrcs.dll',''); QuarantineFile('C:\WINDOWS\abass.exe',''); QuarantineFile('kdptc.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winwe31.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winpw41.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winov43.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winmt86.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winhp07.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winah30.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Uci74.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Uci63.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\qxF86.sys',''); QuarantineFile('Lrsn69.sys',''); QuarantineFile('C:\WINDOWS\system32\kdptc.exe ',' '); QuarantineFile('C:\WINDOWS\System32\drivers\mtA74.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Jqx74.sys',''); QuarantineFile('c:\windows\system32\mbdis.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll',''); QuarantineFile('c:\docume~1\nc6120\locals~1\temp\csrssc.exe',''); TerminateProcessByName('c:\docume~1\nc6120\locals~1\temp\csrssc.exe'); DeleteService('Uci74'); DeleteService('Uci63'); DeleteService('Winwe31'); DeleteService('Winpw41'); DeleteService('Winov43'); DeleteService('Winmt86'); DeleteService('qxF86'); DeleteService('Lrsn69'); DeleteService('Winhp07'); DeleteService('Windows Internet Security'); DeleteService('mtA74'); DeleteService('Winah30'); DeleteService('Jqx74'); DeleteFile('C:\WINDOWS\system32\kdptc.exe '); DeleteFile('c:\docume~1\nc6120\locals~1\temp\csrssc.exe'); DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('c:\windows\system32\mbdis.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Jqx74.sys'); DeleteFile('C:\WINDOWS\System32\drivers\mtA74.sys'); DeleteFile('Lrsn69.sys'); DeleteFile('C:\WINDOWS\System32\drivers\qxF86.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Uci63.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Uci74.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winah30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winhp07.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winmt86.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winov43.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winpw41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winwe31.sys'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('kdptc.exe'); DeleteFile('C:\WINDOWS\abass.exe'); DeleteFile('csrcs.dll'); DeleteFile('C:\WINDOWS\Temp\loader.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6 ); ExecuteRepair(17 ); RebootWindows(true); end.
Вроде стало получше.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Очистите временные файлы,кеш браузера и повторите логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winve42'); DeleteService('Winuc30'); DeleteService('Wintb42'); DeleteService('Winsa52'); DeleteService('Winry86'); DeleteService('Winry06'); DeleteService('Winqw41'); DeleteService('Winpw42'); TerminateProcessByName('c:\docume~1\nc6120\locals~1\temp\winspfd.exe'); DeleteFile('c:\docume~1\nc6120\locals~1\temp\winspfd.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winpw42.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winqw41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winry06.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winry86.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winsa52.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wintb42.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winuc30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winve42.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winve42 '); BC_DeleteSvc('Winuc30 '); BC_DeleteSvc('Wintb42 '); BC_DeleteSvc('Winsa52 '); BC_DeleteSvc('Winry86 '); BC_DeleteSvc('Winry06 '); BC_DeleteSvc('Winqw41 '); BC_DeleteSvc('Winpw42 '); BC_Activate; RebootWindows(true); end.
Всё выполнил.
Вот логи.
Ещё хотел отключить все автозапуски.
Смог отключить только автозапуск с CDROM.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи с п.10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Uci06'); DeleteService('Hov20'); DeleteFile('C:\WINDOWS\System32\drivers\Hov20.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Uci06.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Uci06 '); BC_DeleteSvc('Hov20 '); BC_Activate; RebootWindows(true); end.
Что-то комп опять стал виснуть.
Ещё вылазят какие-то предупреждения.
"GET/test/gewtghywa.dat HTTP/1.0 X-Forwarded-For:72.36.150.34 User-Agent:Wget/1.10.2 Accept: */* Host:....мой IP Connection: Keep-Alive"
Помогите!!!
Spyware Doctor удалить ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system\winload.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe',''); QuarantineFile('C:\DOCUME~1\nc6120\LOCALS~1\Temp\csrssc.exe',''); DeleteFile('C:\DOCUME~1\nc6120\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
поставте нормальный антивирус ...
В карантине ничего нет.
Есть только в папке "инфектед".
Эти же файлы не удаляються из папки TEMP.
Вот новые логи.
Spyware Doctor удалил.
выполните скрипт ...
апмшлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\inkjps.sys',''); DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Карантин отправил.
Вот новые логи.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll',''); BC_DeleteSvc('aic32p'); QuarantineFile('C:\WINDOWS\system32\drivers\inkjps.sys',''); QuarantineFile('c:\docume~1\nc6120\locals~1\temp\winhcooco.exe',''); QuarantineFile('c:\docume~1\nc6120\locals~1\temp\winboyjs.exe',''); DeleteFile('c:\docume~1\nc6120\locals~1\temp\winboyjs.exe'); DeleteFile('c:\docume~1\nc6120\locals~1\temp\winhcooco.exe'); DeleteFile('C:\WINDOWS\system32\drivers\inkjps.sys'); DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ..
Скрипт выполнил.
В карантине ничего нет.
В папке TEMP посоянно появляются два приложения (winusyb, winkqehi) которые не удаляются.
Вылезает периодически окно " !!! GET/test/gewtghywa.dat HTTP/1.0 X-Forwarded-For:72.36.150.34 User-Agent:Wget/1.10.2 Accept: */* Host:....мой IP Connection: Keep-Alive"
В корзине пусто, а на экране рисует что в ней что-то есть. При попытке очистить, спрашивает:" Вы дейсвительно хотите удалить "WINDOWS"?"
скачайте C:\WINDOWS\System32\Drivers\inkjps.sys - force delete
выполните скрипт ...
повторите логи ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\inkjps.sys'); DeleteFile('C:\DOCUME~1\nc6120\LOCALS~1\Temp\winffii.exe'); DeleteFile('C:\Documents and Settings\nc6120\Local Settings\Temp\IcnOvrly.dll'); DeleteFile('c:\docume~1\nc6120\locals~1\temp\winboyjs.exe'); DeleteFile('c:\docume~1\nc6120\locals~1\temp\winhcooco.exe'); BC_DeleteSvc('aic32p'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скачал програмку, что с ней делать?
В начале сделал скрипт.
По указанному пути файла уже небыло.
Как обычно поторопился.
Вот новые логи.
файл по указанному пути - на месте ...
В логах я его тоже вижу.
А в Вашей програмке по указанному пути в папке drivers его не видно (отсортировал по алфавиту и всяко разно искал).
Уважаемый(ая) andrew70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.