-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
f:\windows\system32\tOqFvkP.exe
f:\windows\system32\T2LiWh9.exe
f:\windows\system32\oj1pu3l.exe
Driver::
lkffcpjq
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6591:TCP"=-
NetSvc::
lkffcpjq
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Priority Member
- Вес репутации
- 52
Выполнил, выкладываю новый лог комбофикс.
-
Что с проблемой на данный момент?
Сообщение от
DMTR
Как установить заплатки безопасности?
Посетить http://update.microsoft.com
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
Установил все заплатки безопасности.
Сейчас из подозрительных симптомов наблюдается медленная загрузка всех страниц в браузере, включая эту и девять процессов svchost.exe в дисптечере задач.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
Выполнил.
Добавлено через 3 часа 34 минуты
Сейчас заметил что консоль после комбофикс не удалось удалить, хотя пробовал и ручным методом тоже. Не дает удалять эти файлы.
Интернет продолжает лагать, периодически ни один сайт не грузиться, иногда со второго раза только срабатывает.
Последний раз редактировалось DMTR; 09.03.2010 в 02:56.
Причина: Добавлено
-
Сообщение от
DMTR
Сейчас заметил что консоль после комбофикс не удалось удалить
http://technet.microsoft.com/ru-ru/l...66(WS.10).aspx
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
Не удается удалить файлы из папки cmdcons, пишет "нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением."
-
Попробуйте сначала выполнить пп. 8 - 12, перезагрузиться и пробовать выполнить остальное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
Сделал изменения в файле Файл Boot.ini и при загрузке не появлялся экран связанный с этой консолью, но когда пытаюсь стереть cmdcons, получаю то же оповещение что и выше.
Добавлено через 2 часа 56 минут
Хотел выложить стандартные логи, чтобы посмотрели, так как процесс лечение заглох, но на последнем пункте - исследование системы AVZ остановился и не смог завершить сбор информации.
Последний раз редактировалось DMTR; 09.03.2010 в 20:44.
Причина: Добавлено
-
Попробуйте удалить папку в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
Не удается это сделать и в безопасном режиме, получаю то же самое сообщение.
На сколько важно для безопасноти компьютреа удаление этого файла?
-
Пробуем
Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe
:Services
:Files
C:\Cmdcons
:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
После чего я дал согасие на перезагрузку в конце процесса, пару минут ничего не происхдило, пришлось выключить компьютер.
Файл по преженму на месте вот инфа из лога
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
Folder move failed. C:\cmdcons scheduled to be moved on reboot.
========== REGISTRY ==========
========== COMMANDS ==========
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 60789323 bytes
->Temporary Internet Files folder emptied: 4339743 bytes
->Java cache emptied: 26434741 bytes
->FireFox cache emptied: 59324764 bytes
->Google Chrome cache emptied: 331903497 bytes
->Apple Safari cache emptied: 16075206 bytes
->Flash cache emptied: 167726 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: hm
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: holdemmanager
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 59794 bytes
User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2514792 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 108773 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 479.00 mb
OTM by OldTimer - Version 3.1.10.0 log created on 03092010_213331
-
Попробуйте зайти под встроенным Администратором, дать соответствующие права на папку и пробуйте удалить
Если в английском сильны, смотрите http://www.techspot.com/vb/topic135243.html
Последний раз редактировалось thyrex; 09.03.2010 в 23:12.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
Удалось удалить. Что дальше делать?
-
Следов вирусов не оставалось больше. Лечение можно считать оконченным.
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Priority Member
- Вес репутации
- 52
К сожаленю по прежнему есть некоторые проблемные симтомы. Хотя интернет работает нормально, но ZoneAlarm не смог установить и нормально перегрузиться тоже не получается, меню Пуск застывает, хотя при этом компьютер не зависает.
Добавлено через 1 час 28 минут
Все работает, всем спасибо!
Последний раз редактировалось DMTR; 10.03.2010 в 03:22.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 62
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - P2P-Worm.Win32.Palevo.rmm ( DrWEB: Win32.HLLW.Lime.187, BitDefender: Worm.Generic.227674, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
- f:\docume~1\admin\locals~1\temp\451.exe - Trojan-Downloader.Win32.VB.vqj ( DrWEB: Trojan.Inject.8417 )
- f:\program files\common files\adobearms.exe - Backdoor.Win32.Rbot.aiqk
- f:\recycler\s-1-5-21-3866175142-3824068810-222808458-6897\wmfcgr.exe - P2P-Worm.Win32.Palevo.wde ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.231268, AVAST4: Win32:Malware-gen )
- f:\recycler\s-1-5-21-8346712574-7963723749-473244119-1545\wmfcgr.exe - P2P-Worm.Win32.Palevo.wde ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.231268, AVAST4: Win32:Malware-gen )
- f:\windows\jjdrive32.exe - Net-Worm.Win32.Kolab.gsn ( DrWEB: Trojan.MulDrop1.4886, BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )
- f:\windows\system32\drivers\instmsi.exe - Trojan.Win32.Agent.dlqs ( DrWEB: BackDoor.IRC.Bot.173, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
- f:\windows\system32\d34b1731.exe - Trojan.Win32.Small.cia ( DrWEB: Trojan.MulDrop.64715 )
- f:\windows\system32\mshost.exe - Backdoor.Win32.Agobot.qzp ( DrWEB: Trojan.Packed.19664, BitDefender: Trojan.Generic.3202159, AVAST4: Win32:Malware-gen )
- f:\windows\system32\18.scr - Trojan.Win32.Agent.dlqs ( DrWEB: BackDoor.IRC.Bot.173, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
- \\?\globalroot\systemroot\system32\g7jeqan.exe - Trojan.Win32.Agent.dnrw ( DrWEB: Trojan.Siggen1.7663, NOD32: Win32/Spy.Shiz.NAK trojan )
-