Кто-то постоянно пишет в ветку:
O23 - Service: Управление приложениями AppMgmt Windows Mouse (AppMgmt Windows Mouse) - Unknown owner - C:\WINDOWS\system32\pqzv742.exe (file missing)
Карантин загрузил.
Кто-то постоянно пишет в ветку:
O23 - Service: Управление приложениями AppMgmt Windows Mouse (AppMgmt Windows Mouse) - Unknown owner - C:\WINDOWS\system32\pqzv742.exe (file missing)
Карантин загрузил.
Последний раз редактировалось Yurii; 20.08.2008 в 08:42.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('EA3775F2-28BE-11D3-9C8D-00105A24ED29'); QuarantineFile('Vyp50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vek85.sys',''); QuarantineFile('C:\WINDOWS\system32\PRApplet.cpl',''); QuarantineFile('C:\WINDOWS\system32\pqzv742.exe',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll',''); QuarantineFile('C:\WINDOWS\system32\winras.exe',''); QuarantineFile('C:\WINDOWS\system32\wind32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\iqvw32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fms74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ahm38.sys',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\MSmouse.exe',''); BC_DeleteSvc('Vyp50'); BC_DeleteSvc('Vek85'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Tag73'); BC_DeleteSvc('Taf28'); BC_DeleteSvc('Rxe62'); BC_DeleteSvc('Qwc28'); StopService('Qwc28'); BC_DeleteSvc('NAL'); BC_DeleteSvc('Fms74'); BC_DeleteSvc('asc3350p'); BC_DeleteSvc('Ahm38'); BC_DeleteSvc('msupdate'); StopService('msupdate'); BC_DeleteSvc('MS Windows Mouse'); StopService('MS Windows Mouse'); BC_DeleteSvc('AppMgmt Windows Mouse'); StopService('AppMgmt Windows Mouse'); DeleteFile('C:\WINDOWS\system32\pqzv742.exe'); DeleteFile('C:\WINDOWS\system32\MSmouse.exe'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Ahm38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fms74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\iqvw32.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwc28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxe62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tag73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Taf28.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vek85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vyp50.sys'); DeleteFile('Vyp50.sys'); DeleteFile('C:\WINDOWS\system32\wind32.exe'); DeleteFile('C:\WINDOWS\system32\winras.exe'); DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll'); DeleteFile('C:\System Volume Information\_restore{5EA66709-D0D6-4246-A45F-159F8CEF80FF}\RP0\A0005451.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26584
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Эти сетевые настройки вам знакомы?Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winras.exe, O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
3. Повторите логи.Код:O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = main.assobank.nnov.ru O17 - HKLM\System\CCS\Services\Tcpip\..\{64513005-B741-4289-A891-E2D5D906185E}: NameServer = 192.168.172.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = main.assobank.nnov.ru
The worst foe lies within the self...
Спасибо за быстрый ответ.
Сетевые настройки правильные. Скрипт выполнил. Указанных строк F2 и O4 HJ не нашел. Карантин выслал. Логи прилагаю.
Последний раз редактировалось Yurii; 20.08.2008 в 08:42.
Вроде чисто.
Ожидаем ответ по файлу C:\WINDOWS\System32\DRIVERS\tcpip.sys
т.к. он не прошел по списку безопасных. Но может быть просто обновленным.
The worst foe lies within the self...
Накатил сверху sp3 и последние обновления и tcpip поменялся.
Уважаемый(ая) Yurii, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.