После исполнения какого то кряка вылезло куча файлов в
C:\Documents and Settings\Сергей.XXX\Local Settings\Temp\
a.exe b.exe, и т.д но успел перехватить их фаерволом. Теперь в автозагрузке
исходный файл кудато исчез
После исполнения какого то кряка вылезло куча файлов в
C:\Documents and Settings\Сергей.XXX\Local Settings\Temp\
a.exe b.exe, и т.д но успел перехватить их фаерволом. Теперь в автозагрузке
исходный файл кудато исчез
Последний раз редактировалось lebron; 28.06.2010 в 22:42.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\i.exe',''); QuarantineFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\f.exe',''); DeleteFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\f.exe'); DeleteFile('C:\DOCUME~1\BA83~1.XXX\LOCALS~1\Temp\i.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LEO0WTUNO7'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','J8RPLTROBQ'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пролечитесь http://support.kaspersky.ru/download...tdsskiller.zip
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118
Сделайте новые логи.
карантин прислал. пролечился.вот логи.
Последний раз редактировалось lebron; 28.06.2010 в 22:42.
забыл еще эти
Последний раз редактировалось lebron; 28.06.2010 в 22:41.
Когда сканировали gmer'ом на кнопку scan нажимали ?
Восстановление системы отключить.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\sshnas.dll',''); DeleteFile('c:\windows1\system32\sshnas.dll'); QuarantineFile('c:\windows\system32\drivers\gasfkyprtnrowy.sys',''); DeleteFile('c:\windows\system32\drivers\gasfkyprtnrowy.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
карантин пустой. AVZ пишет ошибка - прямое чтение
gmer автоскан - лог при входе
gmer scan system - сканирование c: только системных файлов
при выполнении скрипта nod ловит вирус:
26.12.2009 16:43:00 Защита в режиме реального времени файл C:\WINDOWS1\system32\Drivers\vdeymzcx.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован XXX\Сергей Событие произошло в новом файле, созданном следующим приложением: E:\Downloads\Opera\avz4\avz.exe.
Последний раз редактировалось lebron; 28.06.2010 в 22:41.
Отключите все защитное ПО !
Лог gmer переделаете.
лог gmer
Последний раз редактировалось lebron; 28.06.2010 в 22:42.
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Сделайте новый лог gmer.Код:uduu59l6.exe -del service gasfkyqxdyjeov uduu59l6.exe -del file "c:\windows1\system32\drivers\gasfkyprtnrowy.sys" uduu59l6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkyqxdyjeov" uduu59l6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gasfkyqxdyjeov" uduu59l6.exe -reboot
скан gmer
Последний раз редактировалось lebron; 28.06.2010 в 22:42.
Добьем возможные остатки
Пофиксите в HiJack
Выполните скрипт в AVZКод:O20 - AppInit_DLLs:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\gasfkyxkqaewqx.dll',''); DeleteFile('c:\windows\system32\gasfkyxkqaewqx.dll'); QuarantineFile('c:\windows\system32\gasfkyqmltlexf.dll',''); DeleteFile('c:\windows\system32\gasfkyqmltlexf.dll'); QuarantineFile('c:\windows\system32\gasfkyisyjqjbs.dll',''); DeleteFile('c:\windows\system32\gasfkyisyjqjbs.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин (если не окажется пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится uduu59l6.exe (gmer)
И запустите cleanup.bat.Код:uduu59l6.exe -del file "c:\windows\system32\gasfkyxkqaewqx.dll" uduu59l6.exe -del file "c:\windows\system32\gasfkywxffkvtk.dat" uduu59l6.exe -del file "c:\windows\system32\gasfkyqmltlexf.dll" uduu59l6.exe -del file "c:\windows\system32\gasfkyglvwjijo.dat" uduu59l6.exe -del file "c:\windows\system32\gasfkyisyjqjbs.dll" uduu59l6.exe -reboot
Компьютер перезагрузится!
Новых логов не нужно
Установите SP3 (может потребоваться активация) + все новые заплатки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
НЕ хочет он удаляться. Где то сидит и умело восстанавливается. В карантин не помещается. прикрепляю лог из реестра. Все записи удалял, через какое то время появляются снова. Щас буду пробовать удалять принудительно из под DOS.
А что он делает хоть этот gasfky?
Последний раз редактировалось lebron; 28.06.2010 в 22:42.
все прочистил. Бльше не появляется. GMER без подозрений.
Спасибо за лечение!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\ba83~1.xxx\locals~1\temp\f.exe - Packed.Win32.Krap.ag ( DrWEB: Trojan.Packed.706 )
- c:\docume~1\ba83~1.xxx\locals~1\temp\i.exe - Packed.Win32.Krap.ag ( BitDefender: Trojan.FakeAlert.BTA, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) lebron, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.