Логи:
Логи:
Последний раз редактировалось Yurii; 16.07.2008 в 15:16.
c:\windows\system32\kdcde.exe опознается DrWEB как Trojan.Virtumod.based.22, Касперским как Trojan.Win32.Monder.gen
Вирус удалил и пофиксил реестр.
Закачал карантин: 080711_000017_virus_4876e8e17cc80.zip
PS: virustotal все файлы из карантина считает чистыми
Последний раз редактировалось Yurii; 11.07.2008 в 10:44.
К сожалению, тут еще есть кучка.
Выполнить скрипт:
Профиксить:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msv1_0.dll',''); QuarantineFile('c:\6r870m.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\kdcde.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\Drivers\Agl28.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\kdcde.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('c:\6r870m.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Код:O4 - HKLM\..\Run: [advap32] "c:\6r870m.exe" /r O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdcde.exe] C:\WINDOWS\system32\kdcde.exe O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file) O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
Загрузить карантин. сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи сделал, карантин закачал.
Последний раз редактировалось Yurii; 16.07.2008 в 15:16.
Вот эта парочка еще похоже жива:
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe
Сейчас нарисую скрипт для их помещения в карантин и удаления.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи для завершения нашей работы сделай все же. Не могу я тебя выписать из лечебницы без них.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Yurii, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.