Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Запущенный случай... (заявка № 40510)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34

    Exclamation Запущенный случай...

    Доброго дня.

    ПК еле шевелился... CureIt, AVPTool и mcafee отработали с liveCD. На текущий момент при беглом осмотре нет вкладки "восстановление системы" (отключить, если она включена, не удалось), не открывается диспетчер задач, при загрузке в безопасном режиме стабильный bsod 0х7b, в ProgramFiles присутствует папка eset, но активного антивируса не замечено... AVZ-скрипт сбра и лечения стабильно дает bsod 0х50 (page_fault_in_non_paged_area). Может запустить этот скрипт с liveCD?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Профикси:
    Код:
    O4 - HKLM\..\Run: [SafeTest] C:\WINDOWS\system32\SafeTest.exe /Self
    O4 - HKLM\..\Run: [727496] C:\WINDOWS\system32\727496.exe /Self
    O4 - HKLM\..\Run: [7] C:\WINDOWS\system\7.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\system32\3361\svchost.exe"
    O4 - HKLM\..\Run: [popup] C:\WINDOWS\system\popup.exe
    O4 - HKLM\..\Run: [DUTool] C:\WINDOWS\system32\DUTool.exe /Self
    O4 - HKLM\..\RunOnce: [cvhnykzx] C:\WINDOWS\system32\kepSafe.exe
    O4 - HKLM\..\RunOnce: [svchost.exe] "C:\WINDOWS\system32\3361\svchost.exe"
    O4 - HKCU\..\Run: [dsfghjgj] C:\WINDOWS\system32\kepSafe.exe
    O4 - HKCU\..\RunOnce: [vcbbjf] C:\WINDOWS\system32\kepSafe.exe
    O4 - HKLM\..\Policies\Explorer\Run: [llajyn_df] C:\WINDOWS\system\lljyn090206.exe
    O4 - HKLM\..\Policies\Explorer\Run: [dlnblz] C:\WINDOWS\system\lz090211.exe
    O4 - HKLM\..\Policies\Explorer\Run: [171166048] C:\WINDOWS\system32\setup008.exe
    O4 - HKLM\..\Policies\Explorer\Run: [zhqbastart] rundll32.exe C:\WINDOWS\system\zhnahsdf090101c.dll a16zhqb
    O4 - HKLM\..\Policies\Explorer\Run: [23236] C:\WINDOWS\system32\55555555555.exe
    O4 - HKLM\..\Policies\Explorer\Run: [maindyucst] C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_090206a.dll d16tan
    O4 - HKLM\..\Policies\Explorer\Run: [234324] C:\WINDOWS\system32\55555555555.exe
    O4 - HKLM\..\Policies\Explorer\Run: [TXMouie] C:\WINDOWS\system32\kepSafe.exe
    Куреитом полную проверку делал?

    столько много и сразу я давно не видел. Претендент на 1-е место по зараженности.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Передам хозяину Проверял и cureit ом и avptool ом. Первый во многих случаях писал "подозрение на... " и оставлял, второй сказал, что около 490 чего-то уничтожил. После фикса, bsod по-прежнему не дает avz сделать проверку/лечение. Вот логи после фикса:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    R3 - Default URLSearchHook is missing
    O2 - BHO: ThunderBrowserHelper Class  - {0C3261BF-3202-4E0B-B67F-DF471AA6620A} - C:\WINDOWS\system32\xunleiBHO12.dll (file missing)
    O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\PushWare\cpush0.dll (file missing)
    O2 - BHO: JavaSunSurf Class - {AAB6C1A0-F3A4-4DAC-A922-F82E601E73A8} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2266.dll (file missing)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O21 - SSODL: C:\WINDOWS\Fonts\mcmzsyaj.dll - {9EF27EE4-4141-4E51-A118-6FCC570C8796} - C:\WINDOWS\Fonts\mcmzsyaj.dll
    O21 - SSODL: C:\WINDOWS\Fonts\kzhionlr.dll - {3CA7A137-35F8-46CD-B83B-534CD13D5A67} - C:\WINDOWS\Fonts\kzhionlr.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2266.dll','');
     QuarantineFile('C:\WINDOWS\Intel\baiduc.dll','');
     QuarantineFile('C:\Program Files\Common Files\PushWare\cpush0.dll','');
     QuarantineFile('C:\WINDOWS\system32\xunleiBHO12.dll','');
     QuarantineFile('C:\WINDOWS\system32\vmdetdhc.exe','');
     QuarantineFile('C:\WINDOWS\system32\kepSafe.exe','');
     QuarantineFile('C:\WINDOWS\Fonts\kzhionlr.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\pnpmem.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
     QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
     QuarantineFile('C:\WINDOWS\system32\ztxvpieo.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ssmfr.sys','');
     QuarantineFile('C:\WINDOWS\HXQ3LL44RDL.exe','');
     QuarantineFile('C:\WINDOWS\SKGGNS.exe','');
     QuarantineFile('C:\WINDOWS\system32\wsldoekd.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp3x.exe','');
     QuarantineFile('C:\WINDOWS\system32\Helper32.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp321.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp23.exe','');
     QuarantineFile('C:\WINDOWS\system32\IM.exe','');
     QuarantineFile('C:\WINDOWS\system32\tdydowkc.exe','');
     QuarantineFile('C:\WINDOWS\system32\tcim.exe','');
     QuarantineFile('C:\WINDOWS\system32\takjq.exe','');
     QuarantineFile('C:\WINDOWS\system32\XmrwP\001.exe','');
     QuarantineFile('C:\WINDOWS\system32\soxpeca.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp.exe','');
     QuarantineFile('C:\WINDOWS\system32\NPC329.exe','');
     QuarantineFile('C:\WINDOWS\system32\roytctm.exe','');
     QuarantineFile('C:\WINDOWS\system32\RiSing.exe','');
     QuarantineFile('C:\WINDOWS\system32\QQZone.exe','');
     QuarantineFile('C:\WINDOWS\BO7GYTSC.exe','');
     QuarantineFile('C:\WINDOWS\system32\Station.exe','');
     QuarantineFile('C:\WINDOWS\C6N8KBKRRJ.exe','');
     QuarantineFile('C:\WINDOWS\guocyok88.exe','');
     QuarantineFile('C:\WINDOWS\system32\noytcyr.exe','');
     QuarantineFile('C:\WINDOWS\system32\svchosa.exe','');
     QuarantineFile('C:\WINDOWS\system32\Softwar.exe','');
     QuarantineFile('C:\WINDOWS\K3FFM26N.exe','');
     QuarantineFile('c:\windows\mfc42.exe','');
     QuarantineFile('C:\WINDOWS\system32\mabidwe.exe','');
     QuarantineFile('C:\WINDOWS\66O1YLENOEW.exe','');
     QuarantineFile('C:\WINDOWS\system32\k.exe','');
     QuarantineFile('C:\WINDOWS\system32\j.exe','');
     QuarantineFile('C:\WINDOWS\system32\svchoat.exe','');
     QuarantineFile('C:\WINDOWS\system32\sudbc.exe','');
     QuarantineFile('c:\windows\system32\KERNEL32.exe','');
     QuarantineFile('C:\WINDOWS\system32\jwmk.exe','');
     QuarantineFile('C:\WINDOWS\system32\jlqk.exe','');
     QuarantineFile('C:\WINDOWS\system32\jlfk.exe','');
     QuarantineFile('C:\WINDOWS\system32\jfzy.exe','');
     QuarantineFile('C:\WINDOWS\system32\jfwk.exe','');
     QuarantineFile('C:\WINDOWS\system32\jfmy.exe','');
     QuarantineFile('C:\WINDOWS\system32\jbzy.exe','');
     QuarantineFile('C:\WINDOWS\system32\jazy.exe','');
     QuarantineFile('C:\WINDOWS\6QOGLJMC2JS.exe','');
     QuarantineFile('C:\WINDOWS\8B3B901K8B8J.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\Slsvc.exe','');
     QuarantineFile('C:\WINDOWS\Fonts\B76E0E5C.EXE','');
     QuarantineFile('C:\WINDOWS\system32\Events.exe','');
     QuarantineFile('C:\WINDOWS\system32\snss.exe','');
     QuarantineFile('C:\WINDOWS\278YC4U.exe','');
     QuarantineFile('C:\WINDOWS\system32\init32.exe','');
     QuarantineFile('C:\WINDOWS\system32\game.exe','');
     QuarantineFile('C:\WINDOWS\system32\borcservice.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
     QuarantineFile('C:\WINDOWS\System32\migration\smss.exe','');
     QuarantineFile('C:\WINDOWS\system32\maxtho.exe','');
     QuarantineFile('C:\WINDOWS\system32\afisicx.exe','');
     QuarantineFile('C:\WINDOWS\system32\acpi64.exe','');
     QuarantineFile('C:\WINDOWS\OCV71.exe','');
     QuarantineFile('C:\WINDOWS\RFVF3.exe','');
     QuarantineFile('C:\WINDOWS\NC1K7NY4E.exe','');
     QuarantineFile('C:\WINDOWS\KLCH7QHP.exe','');
     QuarantineFile('C:\WINDOWS\KZL258BSIY.exe','');
     QuarantineFile('C:\WINDOWS\system32\1239.exe','');
     QuarantineFile('C:\WINDOWS\system32\tching.exe','');
     QuarantineFile('C:\WINDOWS\system32\instbum.exe','');
     QuarantineFile('C:\WINDOWS\system32\yy.dll','');
     QuarantineFile('C:\WINDOWS\system32\QQ.dll','');
     QuarantineFile('C:\WINDOWS\system32\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\friend.dll','');
     QuarantineFile('c:\windows\system32\angnvw.dll','');
     QuarantineFile('c:\windows\oeimport.dll','');
     QuarantineFile('c:\windows\msgslang.dll','');
     QuarantineFile('C:\WINDOWS\LY86T2D.exe','');
     QuarantineFile('c:\windows\haibin8211.dll','');
     QuarantineFile('C:\WINDOWS\Fonts\mcmzsyaj.dll','');
     QuarantineFile('c:\windows\adobelm.dll','');
     DeleteFile('c:\windows\adobelm.dll');
     DeleteFile('C:\WINDOWS\Fonts\mcmzsyaj.dll');
     DeleteFile('c:\windows\haibin8211.dll');
     DeleteFile('C:\WINDOWS\LY86T2D.exe');
     DeleteFile('c:\windows\msgslang.dll');
     DeleteFile('c:\windows\oeimport.dll');
     DeleteFile('c:\windows\system32\angnvw.dll');
     DeleteFile('C:\WINDOWS\system32\friend.dll');
     DeleteFile('C:\WINDOWS\system32\iexplorer.exe');
     DeleteFile('C:\WINDOWS\system32\QQ.dll');
     DeleteFile('C:\WINDOWS\system32\yy.dll');
     DeleteFile('C:\WINDOWS\system32\instbum.exe');
     DeleteFile('C:\WINDOWS\system32\tching.exe');
     DeleteFile('C:\WINDOWS\system32\1239.exe');
     DeleteFile('C:\WINDOWS\KZL258BSIY.exe');
     DeleteFile('C:\WINDOWS\KLCH7QHP.exe');
     DeleteFile('C:\WINDOWS\NC1K7NY4E.exe');
     DeleteFile('C:\WINDOWS\RFVF3.exe');
     DeleteFile('C:\WINDOWS\OCV71.exe');
     DeleteFile('C:\WINDOWS\system32\acpi64.exe');
     DeleteFile('C:\WINDOWS\system32\afisicx.exe');
     DeleteFile('C:\WINDOWS\system32\maxtho.exe');
     DeleteFile('C:\WINDOWS\System32\migration\smss.exe');
     DeleteFile('C:\WINDOWS\system32\regedit32.exe');
     DeleteFile('C:\WINDOWS\system32\borcservice.exe');
     DeleteFile('C:\WINDOWS\system32\game.exe');
     DeleteFile('C:\WINDOWS\system32\init32.exe');
     DeleteFile('C:\WINDOWS\278YC4U.exe');
     DeleteFile('C:\WINDOWS\system32\snss.exe');
     DeleteFile('C:\WINDOWS\system32\Events.exe');
     DeleteFile('C:\WINDOWS\Fonts\B76E0E5C.EXE');
     DeleteFile('C:\Program Files\Common Files\System\Slsvc.exe');
     DeleteFile('C:\WINDOWS\8B3B901K8B8J.exe');
     DeleteFile('C:\WINDOWS\6QOGLJMC2JS.exe');
     DeleteFile('C:\WINDOWS\system32\jazy.exe');
     DeleteFile('C:\WINDOWS\system32\jbzy.exe');
     DeleteFile('C:\WINDOWS\system32\jfmy.exe');
     DeleteFile('C:\WINDOWS\system32\jfwk.exe');
     DeleteFile('C:\WINDOWS\system32\jfzy.exe');
     DeleteFile('C:\WINDOWS\system32\jlfk.exe');
     DeleteFile('C:\WINDOWS\system32\jlqk.exe');
     DeleteFile('C:\WINDOWS\system32\jwmk.exe');
     DeleteFile('c:\windows\system32\KERNEL32.exe');
     DeleteFile('C:\WINDOWS\system32\sudbc.exe');
     DeleteFile('C:\WINDOWS\system32\svchoat.exe');
     DeleteFile('C:\WINDOWS\system32\j.exe');
     DeleteFile('C:\WINDOWS\system32\k.exe');
     DeleteFile('C:\WINDOWS\66O1YLENOEW.exe');
     DeleteFile('C:\WINDOWS\system32\mabidwe.exe');
     DeleteFile('c:\windows\mfc42.exe');
     DeleteFile('C:\WINDOWS\K3FFM26N.exe');
     DeleteFile('C:\WINDOWS\system32\Softwar.exe');
     DeleteFile('C:\WINDOWS\system32\svchosa.exe');
     DeleteFile('C:\WINDOWS\system32\noytcyr.exe');
     DeleteFile('C:\WINDOWS\guocyok88.exe');
     DeleteFile('C:\WINDOWS\C6N8KBKRRJ.exe');
     DeleteFile('C:\WINDOWS\system32\Station.exe');
     DeleteFile('C:\WINDOWS\BO7GYTSC.exe');
     DeleteFile('C:\WINDOWS\system32\QQZone.exe');
     DeleteFile('C:\WINDOWS\system32\RiSing.exe');
     DeleteFile('C:\WINDOWS\system32\roytctm.exe');
     DeleteFile('C:\WINDOWS\system32\NPC329.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp.exe');
     DeleteFile('C:\WINDOWS\system32\soxpeca.exe');
     DeleteFile('C:\WINDOWS\system32\XmrwP\001.exe');
     DeleteFile('C:\WINDOWS\system32\takjq.exe');
     DeleteFile('C:\WINDOWS\system32\tcim.exe');
     DeleteFile('C:\WINDOWS\system32\tdydowkc.exe');
     DeleteFile('C:\WINDOWS\system32\IM.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp23.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp321.exe');
     DeleteFile('C:\WINDOWS\system32\Helper32.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp3x.exe');
     DeleteFile('C:\WINDOWS\system32\wsldoekd.exe');
     DeleteFile('C:\WINDOWS\SKGGNS.exe');
     DeleteFile('C:\WINDOWS\HXQ3LL44RDL.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ssmfr.sys');
     DeleteFile('C:\WINDOWS\system32\ztxvpieo.dll');
     DeleteFile('C:\WINDOWS\system32\acpi64.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\pnpmem.sys');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys');
     DeleteFile('C:\WINDOWS\Fonts\kzhionlr.dll');
     DeleteFile('C:\WINDOWS\system32\kepSafe.exe');
     DeleteFile('C:\WINDOWS\system32\vmdetdhc.exe');
     DeleteFile('C:\WINDOWS\system32\xunleiBHO12.dll');
     DeleteFile('C:\Program Files\Common Files\PushWare\cpush0.dll');
     DeleteFile('C:\WINDOWS\Intel\baiduc.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2266.dll');
     DeleteFile('c:\windows\system32\iexplorer.exe');
     DeleteFile('c:\windows\fonts\mcmzsyaj.dll');
     DeleteFile('C:\WINDOWS\Fonts\n1234091583k.exe');
     DeleteFile('C:\WINDOWS\Fonts\n1234093984k.exe');
     DeleteFile('C:\WINDOWS\Fonts\n1234291349k.exe');
     DeleteFile('C:\WINDOWS\Fonts\n1234428295k.exe');
     DeleteFile('C:\WINDOWS\Fonts\n1234454094k.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=40510).
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Восстановление вроде отключил, но через реестр, так что не уверен. Вот логи:
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Прогресс есть. Продолжим.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Info cache - {296AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Intel\baiduc.dll (file missing)
    O4 - HKLM\..\Run: [vmdetdhc.exe] C:\WINDOWS\system32\vmdetdhc.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     BC_DeleteSvc('wmpobj');
     BC_DeleteSvc('V1ASCSI');
     BC_DeleteSvc('pnpmem');
     BC_DeleteSvc('gwhuf');
     BC_DeleteSvc('acpidisk');
     BC_DeleteSvc('acpi64Drv');
     BC_DeleteSvc('ZI6CHKT1V');
     BC_DeleteSvc('XM8O02IB2UYX');
     BC_DeleteSvc('wsldoekd');
     BC_DeleteSvc('WinHelp3x');
     BC_DeleteSvc('WinHelp323444');
     BC_DeleteSvc('WinHelp321');
     BC_DeleteSvc('WinHelp23');
     BC_DeleteSvc('WinDuuBa');
     BC_DeleteSvc('tdydowkc');
     BC_DeleteSvc('tcim');
     BC_DeleteSvc('takjq');
     BC_DeleteSvc('Switcwaysver');
     BC_DeleteSvc('Storm ccsk Service');
     BC_DeleteSvc('soxpeca');
     BC_DeleteSvc('Seagate Sync Service');
     BC_DeleteSvc('RpcS');
     BC_DeleteSvc('roytctm');
     BC_DeleteSvc('RiSingKaKa');
     BC_DeleteSvc('QQZone');
     BC_DeleteSvc('QQ4FQ9LIE');
     BC_DeleteSvc('Proceduresever');
     BC_DeleteSvc('P5GC87PI');
     BC_DeleteSvc('NVIDIA Dissplay Drilverv');
     BC_DeleteSvc('noytcyr');
     BC_DeleteSvc('Network');
     BC_DeleteSvc('MS Softwar Provider');
     BC_DeleteSvc('MO705X');
     BC_DeleteSvc('mfc42');
     BC_DeleteSvc('mabidwe');
     BC_DeleteSvc('M95GAEW7HFY4');
     BC_DeleteSvc('Kingk');
     BC_DeleteSvc('Kingj');
     BC_DeleteSvc('KingDuuBc');
     BC_DeleteSvc('kinagdu');
     BC_DeleteSvc('kernel32');
     BC_DeleteSvc('jwmk');
     BC_DeleteSvc('jlqk');
     BC_DeleteSvc('jlfk');
     BC_DeleteSvc('jfzy');
     BC_DeleteSvc('jfwk');
     BC_DeleteSvc('jfmy');
     BC_DeleteSvc('jbzy');
     BC_DeleteSvc('jazy');
     BC_DeleteSvc('IDESRvb');
     BC_DeleteSvc('I5M6JNTPB');
     BC_DeleteSvc('H1CGNHGPQ');
     BC_DeleteSvc('FLEXnet');
     BC_DeleteSvc('FE5BC86E');
     BC_DeleteSvc('Event Logs');
     BC_DeleteSvc('Even Log');
     BC_DeleteSvc('DSHDB');
     BC_DeleteSvc('DmPnSN');
     BC_DeleteSvc('Computer Browser Soft Remote');
     BC_DeleteSvc('boorserver');
     BC_DeleteSvc('BETWF9');
     BC_DeleteSvc('BackGround switch');
     BC_DeleteSvc('AuthISvc');
     BC_DeleteSvc('aint');
     BC_DeleteSvc('afisicx');
     BC_DeleteSvc('acpi64');
     BC_DeleteSvc('75LZS6ZPU2Q');
     BC_DeleteSvc('6C00FYOWO7Q');
     BC_DeleteSvc('63AOLV0');
     BC_DeleteSvc('2SMMP5');
     BC_DeleteSvc('1LZG5PNJ');
     BC_DeleteSvc('1239');
     BC_DeleteSvc('0Z65L0TQ');
     BC_DeleteSvc('0HX142SM8JD');
     DeleteFile('C:\WINDOWS\HI9TG4.exe');
     DeleteFile('C:\WINDOWS\XR4MBGLB.exe');
     DeleteFile('C:\WINDOWS\system32\friend.dll');
     DeleteFile('C:\WINDOWS\system32\kepSafe.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    По крайней мере avz dsod-ом уже не выбивает.
    Вот логи:
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\M1NDJB9.exe','');
     QuarantineFile('C:\WINDOWS\YJX80BV7M.exe','');
     QuarantineFile('c:\windows\system32\wuauserv.dll','');
     QuarantineFile('c:\windows\system32\rhmwtfc.dll','');
     DeleteFile('C:\WINDOWS\YJX80BV7M.exe');
     DeleteFile('C:\WINDOWS\M1NDJB9.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('QBUYI');
    BC_DeleteSvc('AZJNC7K');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Повторите логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Вот:
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\system32\rhmwtfc.dll');
     DeleteFile('C:\WINDOWS\YMDNEI5UXJ37.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('OH9B6ID4ZU');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте логи еще раз, надеюсь - последний .
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Логи:
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Хм, все равно вылазят, непонятно откуда!
    Давайте последний раз попробуем:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\7U1ZVF7GO.exe');
     DeleteFile('C:\WINDOWS\ADIMHH2QPQ.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('T4ZS2GL1');
    BC_DeleteSvc('JEP5DVW');
    BC_Activate;
    RebootWindows(true);
    end.
    Если опять мимо - будем консилиум созывать
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Вот логи...
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Опять вылезли.
    Эту зверушку уже добавили в базы Касперского. Скачайте свежий AVPTool и сделайте полную проверку. Должен справиться.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Логи после AVPTool-а... Неужто все?
    Вложения Вложения

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    В логе только остатки. Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('VNKRQMX1');
     BC_DeleteSvc('F29DS9OW');
     BC_DeleteSvc('1JCR4');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать лог Хиджака.
    Можно еще подчистить остатки от AVPTool.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    После скрипта:
    Вложения Вложения

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Упустил одного:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('ZBID7QM37P');
    BC_Activate;
    RebootWindows(true);
    end.
    Вот это можно профиксить:
    Код:
    O4 - Startup: is-02JDA.lnk = C:\AVIR\Virus Removal Tool\is-02JDA\startup.exe
    O4 - Startup: is-CHRI4.lnk = ?
    O4 - Startup: is-I0S5U.lnk = C:\AVIR\Virus Removal Tool\is-I0S5U\startup.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    10.11.2008
    Сообщений
    29
    Вес репутации
    34
    Вот:
    Вложения Вложения

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Установите SP3+all updates...

  • Уважаемый(ая) DenSha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Запущенный случай iLite Net Accelerator'a
      От NeroCorax в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.12.2009, 00:46
    2. Запущенный случай СМС вымогалова
      От mike345 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 25.12.2009, 15:24
    3. Есть подозрения на запущенный сервис
      От Sobolek в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:11
    4. Запущенный случай
      От turtle в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:41
    5. winlogon, запущенный от имени юзера
      От Urmila в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.08.2008, 08:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00213 seconds with 17 queries