Помогите плз вылечить всё!
Помогите плз вылечить всё!
Последний раз редактировалось Neil; 21.01.2009 в 13:28.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: (no name) - {06149a69-f476-499c-8448-81e271446adf} - C:\WINDOWS\system32\zuhuvapo.dll O2 - BHO: {fa1adfaf-032f-68e9-7ae4-7230bb3e63ca} - {ac36e3bb-0327-4ea7-9e86-f230fafda1af} - C:\WINDOWS\system32\uolqlb.dll O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [fepiruroke] Rundll32.exe "C:\WINDOWS\system32\lazogiya.dll",s O4 - HKLM\..\Run: [c0f0a2fa] rundll32.exe "C:\WINDOWS\system32\loseteni.dll",b O4 - HKLM\..\Run: [CPMc3c39166] Rundll32.exe "c:\windows\system32\bikehizi.dll",a O4 - HKUS\S-1-5-19\..\Run: [fepiruroke] Rundll32.exe "C:\WINDOWS\system32\lazogiya.dll",s (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [fepiruroke] Rundll32.exe "C:\WINDOWS\system32\lazogiya.dll",s (User 'NETWORK SERVICE') O4 - Startup: is-I8GHK.lnk = ? O4 - Startup: is-QOQ5R.lnk = ? O4 - Startup: is-SOOVD.lnk = ? O17 - HKLM\System\CCS\Services\Tcpip\..\{74DE0538-C31A-4C7C-87CD-2C5BA60F9BA4}: NameServer = 85.255.116.69,85.255.112.91 O17 - HKLM\System\CCS\Services\Tcpip\..\{95181D5F-3B05-4657-9BFC-5384A92740A0}: NameServer = 85.255.116.69,85.255.112.91 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.10,85.255.112.219 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.74,85.255.112.167 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.69,85.255.112.91 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.116.69,85.255.112.91 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.69,85.255.112.91 O20 - AppInit_DLLs: C:\WINDOWS\system32\riyakuge.dll uolqlb.dll c:\windows\system32\bikehizi.dll O20 - Winlogon Notify: wvUolifg - C:\WINDOWS\ O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bikehizi.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bikehizi.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\tempo-55.tmp',''); QuarantineFile('C:\WINDOWS\system32\zuhuvapo.dll',''); QuarantineFile('C:\WINDOWS\System32\uolqlb.dll',''); QuarantineFile('C:\WINDOWS\system32\riyakuge.dll',''); QuarantineFile('C:\WINDOWS\system32\loseteni.dll',''); QuarantineFile('C:\WINDOWS\system32\lazogiya.dll',''); QuarantineFile('c:\windows\system32\bikehizi.dll',''); DeleteFile('c:\windows\system32\bikehizi.dll'); DeleteFile('C:\WINDOWS\system32\lazogiya.dll'); DeleteFile('C:\WINDOWS\system32\loseteni.dll'); DeleteFile('C:\WINDOWS\system32\riyakuge.dll'); DeleteFile('C:\WINDOWS\System32\uolqlb.dll'); DeleteFile('C:\WINDOWS\system32\zuhuvapo.dll'); DeleteFile('C:\WINDOWS\TEMP\tempo-55.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=37496).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Карантин:
Файл сохранён как 090116_123342_virus_497054765938d.zip
Размер файла 464833
MD5 8ae1e07dc0f50acc42c11bf255d3adaa
Последний раз редактировалось Neil; 21.01.2009 в 13:28.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O2 - BHO: (no name) - {06149a69-f476-499c-8448-81e271446adf} - C:\WINDOWS\system32\zuhuvapo.dll (file missing) O2 - BHO: {ac11ae54-14fc-c7da-7c14-9acc006d553b} - {b355d600-cca9-41c7-ad7c-cf4145ea11ca} - C:\WINDOWS\system32\usmmtd.dll O4 - HKLM\..\Run: [CPMc3c39166] Rundll32.exe "c:\windows\system32\wiwejive.dll",a O4 - HKUS\S-1-5-19\..\Run: [fepiruroke] Rundll32.exe "C:\WINDOWS\system32\lazogiya.dll",s (User 'LOCAL SERVICE') O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) O20 - AppInit_DLLs: c:\windows\system32\wiwejive.dll, O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wiwejive.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wiwejive.dll
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{b355d600-cca9-41c7-ad7c-cf4145ea11ca}'); DelBHO('{06149a69-f476-499c-8448-81e271446adf}'); DeleteFile('c:\windows\system32\wiwejive.dll'); DeleteFile('C:\WINDOWS\system32\zuhuvapo.dll'); DeleteFile('C:\WINDOWS\system32\usmmtd.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('E:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(2); ExecuteRepair(6); RebootWindows(true); end.
готово
Последний раз редактировалось Neil; 21.01.2009 в 13:28.
Пофиксить
Жалобы есть?Код:O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
Вроде всё работает быстро! Сегодня вечером сообщу, если что-то будет не так.
Добавлено через 10 часов 14 минут
иногда воспроизводится звук windows-ошибки, но при этом ниче не выходит..
Последний раз редактировалось Neil; 17.01.2009 в 00:01. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\bikehizi.dll - Trojan-Spy.Win32.Agent.pni (DrWEB: Trojan.Virtumod.1615)
- c:\\windows\\system32\\lazogiya.dll - Trojan-GameThief.Win32.OnLineGames.ulet
- c:\\windows\\system32\\loseteni.dll - Trojan.Win32.Monder.aobr (DrWEB: Trojan.Siggen.56
- c:\\windows\\system32\\riyakuge.dll - Trojan-GameThief.Win32.OnLineGames.ulet
- c:\\windows\\system32\\uolqlb.dll - Backdoor.Win32.IRCBot.heb (DrWEB: Trojan.Juan.77)
- c:\\windows\\system32\\zuhuvapo.dll - Trojan-GameThief.Win32.OnLineGames.ulet
- c:\\windows\\temp\\tempo-55.tmp - Trojan.Win32.Agent2.gy
Уважаемый(ая) Neil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.