собственно все в сабже +
постоянно появляется/исчезает процесс imapi.exe
использую kaspersky antivirus 2009
собственно все в сабже +
постоянно появляется/исчезает процесс imapi.exe
использую kaspersky antivirus 2009
выполните скрипт
пришлите карантин согласно приложения 2 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\autorun.wsh',''); DelBHO('{09C72999-5C10-41A3-A524-24661D942003}'); DelBHO('{043A71DD-EFFA-4584-8ED5-C7E5B8A06910}'); QuarantineFile('C:\WINDOWS\system32\ssqNFYOH.dll',''); QuarantineFile('C:\WINDOWS\system32\geBuUnkh.dll',''); DeleteFile('C:\WINDOWS\system32\geBuUnkh.dll'); DeleteFile('C:\WINDOWS\system32\ssqNFYOH.dll'); DeleteFile('geBuUnkh.dll'); DeleteFile('C:\autorun.wsh'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
повторяю логи, как вы просили
upd:
Файл сохранён как 080919_133715_virus_48d3f15b211cd.zip
Размер файла 2782542
Последний раз редактировалось qdr; 19.09.2008 в 22:40.
выполните скрипт
virusinfo_syscheck.zip повторитеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{09C72999-5C10-41A3-A524-24661D942003}'); DelBHO('{043A71DD-EFFA-4584-8ED5-C7E5B8A06910}'); DeleteFile('C:\WINDOWS\system32\ssqNFYOH.dll'); DeleteFile('C:\WINDOWS\system32\geBuUnkh.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
спасибо большое за то, что помогаете
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\winlogon.exe',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); DelBHO('{000123B4-9B42-4900-B3F7-F4B073EFC214}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
done
Файл сохранён как 080920_073412_virus_48d4edc456cd8.zip
^up
winlogon.exe_
Вредоносный код в файле не обнаружен.
повторите логи
winlogon.exe_
Вредоносный код в файле не обнаружен.
еще какую-то гадость подхватилповторите логи
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\oobe\msoobe.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\Program Files\Opera\mail\indexer\indexer.ax',''); QuarantineFile('C:\Program Files\Opera\mail\lexicon\lexicon.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0001\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0001\w.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0001\wb.vx',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0002\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0002\w.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0003\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0003\w.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0003\wb.vx',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0004\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0004\w.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0004\wb.vx',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0005\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0005\w.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0005\wb.vx',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0006\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0006\w.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0006\wb.vx',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0007\url.ax',''); QuarantineFile('C:\Program Files\Opera\profile\vps\0007\w.ax',''); DeleteFile('C:\Program Files\Opera\mail\indexer\indexer.ax'); DeleteFile('C:\Program Files\Opera\mail\lexicon\lexicon.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0001\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0001\w.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0001\wb.vx'); DeleteFile('C:\Program Files\Opera\profile\vps\0002\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0002\w.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0003\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0003\w.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0003\wb.vx'); DeleteFile('C:\Program Files\Opera\profile\vps\0004\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0004\w.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0004\wb.vx'); DeleteFile('C:\Program Files\Opera\profile\vps\0005\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0005\w.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0005\wb.vx'); DeleteFile('C:\Program Files\Opera\profile\vps\0006\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0006\w.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0006\wb.vx'); DeleteFile('C:\Program Files\Opera\profile\vps\0007\url.ax'); DeleteFile('C:\Program Files\Opera\profile\vps\0007\w.ax'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); DeleteFile('C:\WINDOWS\services.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
virus.zip загружается- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
пофиксите
какие-то проблемы остались ?Код:O20 - Winlogon Notify: geBuUnkh - C:\WINDOWS\ O20 - Winlogon Notify: geBuUnkh- - C:\WINDOWS\
нет, всем кто помогал боооольшое спасибо. буду всем рекомендовать ваш порталкакие-то проблемы остались ?
единственное - после всех проверок/очисток перестали устанавливаться обновления с WU. но это уже совсем другая история (c)
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 96
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\av1k\\mirc\\mirc.exe.bak - not-a-virus:Client-IRC.Win32.mIRC.631 (DrWEB: Program.mIRC.623)
- c:\\windows\\services.exe - Backdoor.Win32.Agent.rvn (DrWEB: Trojan.Spambot.358
- c:\\windows\\system32\\gebuunkh.dll - Trojan.Win32.Monderb.rrf (DrWEB: Trojan.Virtumod.44
- c:\\windows\\system32\\ssqnfyoh.dll - Trojan.Win32.Monder.pop (DrWEB: Trojan.Virtumod.512)
Уважаемый(ая) qdr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.