http://virusinfo.info/showthread.php...562#post428562
Сабж по проблеме.
Логи:
http://virusinfo.info/showthread.php...562#post428562
Сабж по проблеме.
Логи:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\Documents and Settings\Profatilo\Local Settings\Temporary Internet Files\Content.IE5\1D0LK6M3\application[2].js',''); QuarantineFile('WinNt32.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\6\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\symmpi.sys',''); DeleteService('Npc28'); QuarantineFile('C:\WINDOWS\System32\Drivers\Npc28.sys',''); DeleteService('mswd64'); QuarantineFile('C:\WINDOWS\system32\drivers\mswd64.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\adpu320.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\mswd64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Npc28.sys'); DeleteFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\6\svchost.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи и лог ГМЕРа сделать
Добавлено через 53 минуты
UPD.
Вот это тоже убратьКод:O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
Последний раз редактировалось Kuzz; 08.07.2009 в 17:27. Причина: Добавлено
The worst foe lies within the self...
UP
P.S. Файл virus.zip загрузил... минут 40-50 назад
HiJackthis - пофиксил только что
Контрольный Gmer-а все же желателен
"Хвосты" в HJT:
То, что это правильные настройки я думаю Вы проверите:Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Ну и, как говорится, "Аяяй!"Код:O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mosgortrans.ru O17 - HKLM\Software\..\Telephony: DomainName = mosgortrans.ru O17 - HKLM\System\CCS\Services\Tcpip\..\{86066724-8032-47FC-AF64-F88EB6B6F7BA}: NameServer = 130.0.0.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
The worst foe lies within the self...
Скачайте эту версию AVZ и сделайте ею п.2 Диагностики (базы обновлять не нужно).
I am not young enough to know everything...
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Компьютер начальника
А что вы хотите... привязан некоторый софт к Windows и IE в частности...
Скачаю и сделаю все завтра. Сейчас дома
Gmer - запускаться отказался...
Поисходит то же, что было в с реестром... Экран сбрасывается, а потом восстанавливается...
(Сейчас благо реестр заработал и все остальное тоже)
При проверке предложенным avz - вылетает ошибка аля Access Validation... на минуте 6-й где то... сканирования...
UPD: Gmer запустился...
минут через ****цать дам посмотреть логи
Понял, просто смутила фраза:
Я и подумал, что сделать два лога, почему то...Значит перед созданием логов
Такс, вот лог:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\..\iss.nav',''); DeleteFile('C:\DOCUME~1\PROFAT~1\LOCALS~1\Temp\..\iss.nav'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Повторите п.2 Диагностики.
I am not young enough to know everything...
UP
Закачал также
Файл сохранён как 090709_153847_virus_4a55d6c7027a2.zip
Размер файла 583
MD5 0749207f47122a839aac4656f8efb9c7
Теперь чисто. Проблема решена?
I am not young enough to know everything...
Да, все летает, если можно назвать это полетом на Windows))
Реестр восстановился после первого скрипта, а это именно то, что мне и нужно было.
А после дальнейших действий - перестал грузиться ЦП под 100% с включеным IE
Спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.wzr
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Lexxus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.