Уже неделю нод чистит, пробовал ComboFix
Уже неделю нод чистит, пробовал ComboFix
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\RECYCLER\S-1-5-21-5479096366-1770149458-460294865-3265\wmfcgr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-5479096366-1770149458-460294865-3265\wmfcgr.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); BC_Activate; CreateQurantineArchive('C:\quarantine.zip'); RebootWindows(true); end.
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=60539
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Спасибо ))
Карантин и новые логи нам не видать?
Карантин когда загружаю по ссылке, грит что такой файл уже был загружен, а логи попозже скину(кстати нод опять находит этих инжекторов). Может быть файрвол какой поставить надо?
ЛОги после проверки стандартными скриптами
Последний раз редактировалось Numb; 20.11.2009 в 10:19. Причина: Карантин в теме
Почему не отключили?Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); QuarantineFile('C:\*.exe',''); QuarantineFile('C:\WINDOWS\system32\*.scr',''); QuarantineFile('c:\windows\system32\drivers\cztf.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NAG47O4U\w[1].exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NAG47O4U\x[3].exe',''); TerminateProcessByName('c:\windows\system32\drivers\cztf.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NAG47O4U\w[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NAG47O4U\x[3].exe'); DeleteFile('c:\windows\system32\drivers\cztf.exe'); DeleteFile('C:\WINDOWS\system32\15.scr'); DeleteFile('C:\WINDOWS\system32\71.scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); BC_Activate; CreateQurantineArchive('C:\quarantine.zip'); RebootWindows(true); end.
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=60539
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
+
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл c:\avz_log.txt.
Кстати постоянно говорит, что Generic Host process for Win32 Services - обнаружена ошибка и будет закрыто ....
все написанное выполнил
В логах нет ничего подозрительного.
Установите обновления безопасности на Windows.
Пока вроде норм, но вот лог в безопаасном режиме выполненный в ComboFix.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask('C:\WINDOWS\system32','??.scr', false); DeleteFileMask('c:\windows\temp', '*.*', true); RebootWindows(true); end.
Сделаете повторный лог ComboFix.
Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью AVPTool и повторите логи...
Сердце решает кого любить... Судьба решает с кем быть...
Вот лог проверки нод32
Последний раз редактировалось AndreyKa; 22.11.2009 в 17:09.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\cztf.exe - Trojan.Win32.Kreeper.vc ( DrWEB: Dialer.Zonect, BitDefender: Trojan.Generic.2713953, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Dialer-gen [Dialer] )
- c:\windows\system32\06.scr - Trojan.Win32.Kreeper.vc ( DrWEB: Dialer.Zonect, BitDefender: Trojan.Generic.2713953, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Dialer-gen [Dialer] )
- c:\windows\system32\12.scr - Trojan.Win32.Kreeper.vc ( DrWEB: Dialer.Zonect, BitDefender: Trojan.Generic.2713953, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Dialer-gen [Dialer] )
- c:\windows\system32\14.scr - Trojan.Win32.Kreeper.ajd ( DrWEB: Trojan.Inject.7326, BitDefender: Trojan.Generic.2709827, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\33.scr - Trojan.Win32.Kreeper.vc ( DrWEB: Dialer.Zonect, BitDefender: Trojan.Generic.2713953, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Dialer-gen [Dialer] )
- c:\windows\system32\46.scr - Trojan.Win32.Kreeper.ajd ( DrWEB: Trojan.Inject.7326, BitDefender: Trojan.Generic.2709827, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\51.scr - Trojan.Win32.Kreeper.ajd ( DrWEB: Trojan.Inject.7326, BitDefender: Trojan.Generic.2709827, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\53.scr - Trojan.Win32.Kreeper.vc ( DrWEB: Dialer.Zonect, BitDefender: Trojan.Generic.2713953, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Dialer-gen [Dialer] )
- c:\windows\system32\62.scr - Trojan.Win32.Kreeper.vc ( DrWEB: Dialer.Zonect, BitDefender: Trojan.Generic.2713953, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Dialer-gen [Dialer] )
Уважаемый(ая) mixx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.