Добрый день!
Логи прилагаю помогите, пожалуйста=)
Там еще какая-то фигня с флэшки привязалась, которая через автозапуск инфицирует.....
Заранее, спасибо!
Добрый день!
Логи прилагаю помогите, пожалуйста=)
Там еще какая-то фигня с флэшки привязалась, которая через автозапуск инфицирует.....
Заранее, спасибо!
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\oxtqob.dll',''); QuarantineFile('C:\WINDOWS\Temp\*.exe',''); QuarantineFile('C:\Documents and Settings\Мага\Local Settings\Temp\*.exe',''); QuarantineFile('F:\DAT.exe',''); QuarantineFile('C:\RECYCLER.exe',''); DelCLSID('5Y99AE78-58TT-11dW-BE53-Y67078979Y'); QuarantineFile('C:\WINDOWS\system\sservice.exe',''); DelBHO('{BF9E9147-07BE-D273-51A1-44B6974ACE73}'); QuarantineFile('C:\SysFiles\aRQSGdDTienOHc8rv.dll',''); QuarantineFile('C:\WINDOWS\system32\fservice.exe',''); QuarantineFile('C:\WINDOWS\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\system32\winkey.dll',''); QuarantineFile('C:\WINDOWS\system32\reginv.dll',''); QuarantineFile('c:\windows\services.exe',''); TerminateProcessByName('c:\windows\services.exe'); QuarantineFile('c:\windows\csrss.exe',''); TerminateProcessByName('c:\windows\csrss.exe'); DeleteFile('c:\windows\csrss.exe'); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\system32\reginv.*'); DeleteFile('C:\WINDOWS\system32\winkey.dll'); DeleteFile('C:\WINDOWS\ctfmon.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','csrss.exe'); DeleteFile('C:\WINDOWS\system32\fservice.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DirectX For Microsoft® Windows'); DeleteFile('C:\SysFiles\aRQSGdDTienOHc8rv.dll'); DeleteFile('C:\WINDOWS\system\sservice.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\RECYCLER.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\RECYCLER.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\DAT.exe'); DeleteFile('C:\Documents and Settings\Мага\Local Settings\Temp\*.*'); DeleteFile('C:\WINDOWS\Temp\*.*'); DeleteFile('C:\WINDOWS\system32\oxtqob.dll'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); BC_Activate; RebootWindows(true); end.
3. Выполните скрипт в AVZ:
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=62982Код:begin CreateQurantineArchive('C:\quarantine.zip'); end.
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
логи после скрипта
З.Ы. Спасибо за оперативность!
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
после попытки загрузки карантина было показано окно с надписью "Результат загрузки" и все....больше ничего....это нормально или повторить загрузку?
Такой лог сделайте http://virusinfo.info/showthread.php?t=40118
Это нормально.
Сердце решает кого любить... Судьба решает с кем быть...
да Гмер нашел какой-то руткит... вот лог
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
И запустите cleanup.batКод:gmer.exe -del service jjfyypuw gmer.exe -del file "C:\WINDOWS\system32\oxtqob.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjfyypuw" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jjfyypuw" gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
проделал все...при выполнении появилась надпись, что не найден сервис, не найден этот длл файл и т.д.
Прогнал Гмером.... и действительно все чисто, как он удалился сам я хз...
Лог-то сделайте. Контрольный выстрел...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\мага\local settings\temp\34.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\мага\local settings\temp\45.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\мага\local settings\temp\51.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\мага\local settings\temp\58.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\мага\local settings\temp\64.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\мага\local settings\temp\70.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\documents and settings\мага\local settings\temp\85.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632, BitDefender: Backdoor.Bot.103213, AVAST4: Win32:Spyware-gen [Spy] )
- c:\recycler.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
- c:\sysfiles\arqsgddtienohc8rv.dll - Trojan-Ransom.Win32.Hexzone.ald ( DrWEB: Trojan.Blackmailer.origin )
- c:\windows\csrss.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
- c:\windows\ctfmon.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
- c:\windows\services.exe - Backdoor.Win32.Prorat.mj ( DrWEB: BackDoor.ProRat.252, BitDefender: MemScan:Trojan.Prorat.INJ, NOD32: Win32/Prorat.NAH trojan, AVAST4: Win32:Agent-ONW [Trj] )
- c:\windows\system\sservice.exe - Backdoor.Win32.Prorat.mj ( DrWEB: BackDoor.ProRat.252, BitDefender: MemScan:Trojan.Prorat.INJ, NOD32: Win32/Prorat.NAH trojan, AVAST4: Win32:Agent-ONW [Trj] )
- c:\windows\system32\fservice.exe - Backdoor.Win32.Prorat.mj ( DrWEB: BackDoor.ProRat.252, BitDefender: MemScan:Trojan.Prorat.INJ, NOD32: Win32/Prorat.NAH trojan, AVAST4: Win32:Agent-ONW [Trj] )
- c:\windows\system32\oxtqob.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AC worm, AVAST4: Win32:Confi [Wrm] )
- c:\windows\system32\reginv.dll - Backdoor.Win32.Prorat.ae ( DrWEB: BackDoor.ProRat.37, BitDefender: Backdoor.Generic.190916, NOD32: Win32/Prorat.S trojan, AVAST4: Win32:Prorat-BC [Trj] )
- c:\windows\system32\winkey.dll - Backdoor.Win32.Prorat.bj ( DrWEB: Trojan.KeyLogger.212, BitDefender: Backdoor.Generic.78102, NOD32: Win32/Prorat trojan, AVAST4: Win32:Prorat-BH [Trj] )
- c:\windows\temp\02.exe - Trojan-Downloader.Win32.Mutant.gyk ( BitDefender: Trojan.Generic.2237079, AVAST4: Win32:Kobcka-M [Trj] )
- c:\windows\temp\14.exe - Trojan-Downloader.Win32.Mutant.gyl ( BitDefender: Trojan.Generic.2237079, AVAST4: Win32:Kobcka-M [Trj] )
- c:\windows\temp\18.exe - Trojan-Downloader.Win32.Mutant.gyk ( BitDefender: Trojan.Generic.2237079, AVAST4: Win32:Kobcka-M [Trj] )
- c:\windows\temp\53.exe - Backdoor.Win32.HareBot.alr ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Generic.2223941, AVAST4: Win32:Malware-gen )
- f:\dat.exe - Worm.Win32.AutoRun.gbh ( DrWEB: Win32.HLLW.Autoruner.3630, BitDefender: GenPack:Worm.Generic.77663, NOD32: Win32/AutoRun.VB.CY worm, AVAST4: Win32:VB-JYU [Wrm] )
Уважаемый(ая) Seuge, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.