Вирус разошелся по сети.Выкладываю логи и карантин 2 ПК. Заранее спасибо.
Вирус разошелся по сети.Выкладываю логи и карантин 2 ПК. Заранее спасибо.
Выполните скрипт в AVZ
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\services.exe'); QuarantineFile('c:\windows\services.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\i81xnt5.sys',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\nisgw.exe,C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ahrg.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\fouton.exe',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\qpctgmeeo.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\tnhhjqqhiow.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\haqkkoknfwiv.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jwxyubokf.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\nkcykv.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jfvzweamc.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lkzht.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\gkudsk.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lfvvjs.sys',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\cdunlvwnkkvgk.sys',''); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\cdunlvwnkkvgk.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lfvvjs.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\gkudsk.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lkzht.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jfvzweamc.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\nkcykv.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jwxyubokf.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\haqkkoknfwiv.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\tnhhjqqhiow.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\qpctgmeeo.sys'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\fouton.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\nisgw.exe,C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ahrg.exe'); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe'); DeleteFile('F:\autorun.inf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','regatte'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteService('ummplctqdnrgy'); DeleteService('zsxslgarypi'); DeleteService('spgpigynv'); DeleteService('qurfyepa'); DeleteService('qqpnif'); DeleteService('onrdnleylldl'); DeleteService('jurzxkdla'); DeleteService('jpnyokvz'); DeleteService('jdaarqcruloxv'); DeleteService('droclsaf'); DeleteFileMask('C:\Windows\Tasks', 'At*.job', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(13); ExecuteRepair(17); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (по возможности обычным AVZ)
Полиморфный AVZ в моей подписи поновее будет. Пользуйтесь им, если обычный не запустится
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выкладываю новые логи.
Внимание: один из файлов, относящихся к принтеру или утилите для работы с принтером, подменен вирусом. Придется переустановить драйвера и программы для принтера
Выполните скрипт в AVZ
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\spool\drivers\w32x86\3\cnap2lak.exe'); DeleteFile('c:\windows\system32\spool\drivers\w32x86\3\cnap2lak.exe'); DeleteFile('c:\program files\internet explorer\wmpscfgs.exe'); DeleteFileMask('C:\Windows\Tasks', 'At*.job', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи (по возможности обычным AVZ с обновленными базами)
Полиморфный AVZ в моей подписи поновее будет. Пользуйтесь им, если обычный не запустится
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все Окей. Большое спасибо!!!
Добавлено через 1 минуту
Сейчас будет карантин.
Последний раз редактировалось Евгений Деревянченко; 13.04.2010 в 11:12. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 113
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\microsoft\fouton.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\services.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\spool\drivers\w32x86\3\cnap2la k.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Евгений Деревянченко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.