Комп стал долго грузиться. Посмотрите логи, плс. Было удалено пару вирусов.
Комп стал долго грузиться. Посмотрите логи, плс. Было удалено пару вирусов.
Последний раз редактировалось mrHill; 12.11.2009 в 15:57.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\ludabux1\tgw.exe',''); QuarantineFile('C:\WINDOWS\msmacro64.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe'); DeleteFile('C:\WINDOWS\msmacro64.exe'); DeleteFile('C:\Documents and Settings\ludabux1\tgw.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось snifer67; 12.11.2009 в 12:51.
выполнил
после выполнени скрипта и перезагрузки, в топике появился не тот ответ и скрипт который я выполнял. Страно
Последний раз редактировалось mrHill; 12.11.2009 в 14:53.
Скрипт тот не выполняйте.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\CRYPTO32W.DLL',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
Вы пользуетесь WebMoney Advisor?
я выполнил скрипт который был вначале
Адвизором не пользуюсь
выполните последний скрипт.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. После сделайте новые логи по правилам
выполнил. карантин второй раз не захотел загружаться:Ошибка загрузки. Данный файл уже был загружен
Последний раз редактировалось mrHill; 12.11.2009 в 14:53.
C:\WINDOWS\system32\CRYPTO32W.DLL пришлите по правилам (приложения 2 и 3)
обратил внимание, что в логах АВП в разделе подозрительные объекты каждый раз разный файл
Добавлено через 1 минуту
выслал карантин
Последний раз редактировалось mrHill; 12.11.2009 в 13:50. Причина: Добавлено
Карантин получен:
C:\WINDOWS\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.icm
C:\WINDOWS\system32\CRYPTO32W.DLL - похоже новый зловред
Я не зря спрашивал про WebMoney Advisor, желательно поменять пароли
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\CRYPTO32W.DLL'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log
spln.sys - Вы про этот, например? он не зловредный!
обратил внимание, БАТ не отправляет почту, т.е. письмо уходит, а до адресата не доходит
Добавлено через 17 минут
Не могу загрузить логи: пишет, что превысил предел вложений
Последний раз редактировалось mrHill; 12.11.2009 в 14:52. Причина: Добавлено
выполнил
Последний раз редактировалось mrHill; 12.11.2009 в 15:57.
Пофиксите в Hijackthis:выполните скрипт в AVZ:Код:O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - CRYPTO32W.DLL (file missing)Сделайте новый лог - virusinfo_syscheck.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\CRYPTO32W.DLL'); DeleteFile('CRYPTO32W.DLL'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
п.с. C:\WINDOWS\system32\CRYPTO32W.DLL - уже детектируется антивирусом Касперского как Trojan.Win32.Delf.rmb
Последний раз редактировалось DefesT; 12.11.2009 в 15:06.
выполнил
как решить это?
9. Мастер поиска и устранения проблем
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Последний раз редактировалось mrHill; 12.11.2009 в 15:57.
Спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\crypto32w.dll - Trojan.Win32.Delf.rmb ( BitDefender: Trojan.Generic.2671326, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.icm ( DrWEB: Trojan.DownLoad.41506, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) mrHill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.