Схватил вирус sdra64.exe касперский находит говорит что вылечит при перезагрузке-не лечит все происходит по новой.Если пофиксить F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\sdra64.exe, -вылезает синий экран.
Схватил вирус sdra64.exe касперский находит говорит что вылечит при перезагрузке-не лечит все происходит по новой.Если пофиксить F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\sdra64.exe, -вылезает синий экран.
Последний раз редактировалось gudge25; 09.08.2009 в 13:45.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe',''); QuarantineFile('c:\windows\explorer.exe',''); QuarantineFile('c:\windows\system32\ctfmon.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('zeftvhstn'); BC_Activate; SetAVZPMStatus(true); RebootWindows(false); end.
Пришлите карантин по правилам.
Сделайте новые логи.
Добавлено через 3 минуты
Еще сделайте такой лог: http://virusinfo.info/showthread.php?t=40118
Последний раз редактировалось kps; 30.07.2009 в 21:29. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все сделал жду дальнейших рекомендаций
GMER has found system modification
Последний раз редактировалось gudge25; 09.08.2009 в 13:45.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - - (no file) O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection
Компьютер перезагрузится.Код:begin ClearQuarantine; SetAVZPMStatus(false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aujasnkj.sys',''); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aujasnkj.sys'); BC_ImportALL; ExecuteSysClean; DeleteService('eqotrtcnp'); DeleteService('zeftvhstn'); BC_Activate; RebootWindows(false); end.
Сделайте снова 4 лога и пришлите новый карантин.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
все сделал.
теперь gmer-svchost.exe--rootkit activity
Последний раз редактировалось gudge25; 09.08.2009 в 13:45.
Пофиксите в HijackThis:
Скачайте этот AVZ: http://rapidshare.com/files/262070083/avz.exe.html и положите его в отдельную папку.Код:O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
Выполните скрипт в скачанном по ссылке AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\fubenrkn.dll',''); DeleteFile('C:\WINDOWS\system32\fubenrkn.dll'); BC_ImportALL; ExecuteSysClean; DeleteService('zeftvhstn'); DeleteService('eqotrtcnp'); DeleteService('tduceku'); RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Services\zeftvhstn'); RegKeyDel('HKLM', 'SYSTEM\ControlSet006\Services\zeftvhstn'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\eqotrtcnp'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tduceku'); RegKeyDel('HKLM', 'SYSTEM\ControlSet009\Services\eqotrtcnp'); RegKeyDel('HKLM', 'SYSTEM\ControlSet009\Services\zeftvhstn'); BC_Activate; RebootWindows(true); end.
В этой отдельной папке будет папка с карантином. Его пришлите нам по правилам. И сделайте новые логи, логи AVZ - со скачанным по ссылке выше AVZ.
Последний раз редактировалось kps; 04.08.2009 в 02:30.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
скиньте пожалуйста правильную ссылку на AVZ
Кроме новых логов (после выполнения рекомендаций из сообщения №6) сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пробуйте скрипт тогда в обычном AVZ. Не забудьте потом прислать новый карантин и сделать новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
сделал
Код:
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.Код:gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\zeftvhstn" gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\zeftvhstn" gmer.exe -del file "C:\WINDOWS\system32\fubenrkn.dll" gmer.exe -reboot
После перезагрузки:
- Выполните скрипт
После перезагрузки:Код:begin SetAVZGuardStatus(True); RebootWindows(true); end.
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению, повторите лог gmer.
сделал ! касперский находит постоянно C:\WINDOWS\SYSTEM32\x/PE_Patch.UPX/UPX Generic Host Process for Win32 Services Обнаружено: Net-Worm.Win32.Kido.ih
C:\DOCUMENTS AND SETTINGS\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\VRCG9QCU\nhdt[1].bmp/PE_Patch.UPX/UPX Generic Host Process for Win32 Services Обнаружено: Net-Worm.Win32.Kido.ih
ВЫЛАЗИТ SVchost.exe ---память не может быть read --- после этого нижняя панель становиться с мин эффектами -тоесть кнопка ПУск квадратная не зеленая итд
Последний раз редактировалось gudge25; 05.08.2009 в 18:49.
http://support.kaspersky.ru/faq/?qid=208636215Обнаружено: Net-Worm.Win32.Kido.ih
После лечения:
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению
Последний раз редактировалось Rene-gad; 05.08.2009 в 20:02. Причина: Добавлено
Вы не прислали карантин после скрипта из сообщения номер 6. Пришлите пожалуйста.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.yvv
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) gudge25, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.