Другой комп.
Другой комп.
Последний раз редактировалось blackcat72; 29.09.2009 в 12:54.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\RECYCLER\S-1-5-21-0001482296-1591076469-131033834-0862\nissan.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0001482296-1591076469-131033834-0862\nissan.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\rotscxalqeecim'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\rotscxalqeecim'); SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=54727).
Сделайте новые логи + дополнительно лог gmer.
I am not young enough to know everything...
Скрипт выполнил. Новые логи приложил. Файл карантина выслал по ссылке в моей теме с указанным там паролем.
Лог от ГМЕРа так же приложу чуть позже минут через 10-15 (еще досканируется).
Неопнятный сервисный файл в системных драйверах rotscxylpcbdib.sys и подобные (думаю, нужно удалить, тем более, что и в темпах они есть). Ну жду рекомендаций от специалистов.
Последний раз редактировалось blackcat72; 16.09.2009 в 17:07.
вот он
Последний раз редактировалось blackcat72; 16.09.2009 в 17:07.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
И запустите cleanup.bat. Компьютер перезагрузится.Код:gmer.exe -del service rotscxalqeecim gmer.exe -del file "c:\windows\system32\drivers\rotscxqouqfucr.sys" gmer.exe -del file "rotscxwsp.dll" gmer.exe -del file "c:\windows\system32\rotscxnmxtynxv.dll" gmer.exe -del file "c:\windows\system32\rotscxnftobxvn.dat" gmer.exe -del file "c:\windows\system32\rotscxbfpqipdy.dll" gmer.exe -del file "c:\windows\system32\drivers\rotscxvnwkppmk.sys" gmer.exe -del file "c:\windows\system32\rotscxpupdibnm.dll" gmer.exe -del file "c:\windows\system32\rotscxpxgnfqqh.dat" gmer.exe -del file "c:\windows\system32\rotscxureblbqx.dll" gmer.exe -del file "c:\windows\system32\drivers\rotscxylpcbdib.sys" gmer.exe -del file "c:\windows\system32\rotscxcorevspt.dll" gmer.exe -del file "c:\windows\system32\rotscxioufhwmq.dll" gmer.exe -del file "c:\windows\system32\rotscxonemqxts.dat" gmer.exe -del file "c:\windows\system32\rotscxhyttpiei.dll" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rotscxcvkibmiq" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxalqeecim" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxalqeecim" gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rotscxalqeecim" gmer.exe -reboot
Сделайте новый лог гмер.
При удалении ругнулся пару раз, что нету такого файла.
Новый лог прилагаю. Кое-что осталось опять.
Последний раз редактировалось blackcat72; 16.09.2009 в 17:07.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\drivers\rotscxylpcbdib.sys',''); DeleteFile('c:\windows\system32\drivers\rotscxylpcbdib.sys'); QuarantineFile('c:\windows\system32\rotscxmpesmnbv.dll',''); DeleteFile('c:\windows\system32\rotscxmpesmnbv.dll'); QuarantineFile('c:\windows\system32\rotscxwmvvphyc.dll',''); DeleteFile('c:\windows\system32\rotscxwmvvphyc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
И запустите cleanup.batКод:gmer.exe -del service rotscxalqeecim gmer.exe -del file "c:\windows\system32\drivers\rotscxylpcbdib.sys" gmer.exe -del file "c:\windows\system32\rotscxmpesmnbv.dll" gmer.exe -del file "c:\windows\system32\rotscxfuxthtsp.dat" gmer.exe -del file "c:\windows\system32\rotscxwmvvphyc.dll" gmer.exe -del file "C:\Documents and Settings\Work\Local Settings\Temp\rotscxlbdvjtiqrj.tmp" gmer.exe -del file "C:\Documents and Settings\Work\Local Settings\Temp\rotscxoorxbetxye.tmp" gmer.exe -del file "C:\Documents and Settings\Work\Local Settings\Temp\rotscxxmxrnspyfe.tmp" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxalqeecim" gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rotscxalqeecim" gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
1. Нод ругнулся на АВЗ (заражен вирусом). Удалил папку с ним и заново скачал. Поэтому пока карантин не могу выслать.
2. При запуске текста для гмера снова несколько раз сказал что нету файла, и на первую команду рег - что неправильная команда (наверное нету такой ветки уже).
3. Новые логи прилагаю. Гмер еще сканирует.
Последний раз редактировалось blackcat72; 29.09.2009 в 12:54.
Восстановление системы отключить
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Сделать новый лог virusinfo_syscheck
Последний раз редактировалось thyrex; 16.09.2009 в 15:12.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал. Из того же каталога не дает загрузить на сайт (говорит, что уже такой файл загружен) - поправьте может както.
Файл новый загрузил все же (скопирровав в другую папку на диске сначала).
Последний раз редактировалось blackcat72; 29.09.2009 в 12:54.
Здесь чисто. Ожидаем лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот он.
Как мне почистить свои загруженные файлы на форуме. В разных темах и по несколько раз загружаю - скоро уже максимальный объем будет и не даст больше загружать ничего.
Последний раз редактировалось blackcat72; 29.09.2009 в 12:54.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Большое спасибо за помощь. Все отлично.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0001482296-1591076469-131033834-0862\nissan.exe - P2P-Worm.Win32.Palevo.jph ( DrWEB: Win32.HLLW.Lime.18 )
Уважаемый(ая) blackcat72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.