Стояла Avira, перестала обновляться. Снес, поставил DrWeb, вылечился от накопившейся заразы. DrWeb не обновляется и браузером на сайт не удаеться зайти
Стояла Avira, перестала обновляться. Снес, поставил DrWeb, вылечился от накопившейся заразы. DrWeb не обновляется и браузером на сайт не удаеться зайти
- обновите базы AVZВнимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip
Сделал
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin QuarantineFile('E:\разное\игры\11\rise.exe',''); QuarantineFile('C:\WINDOWS\system32\cmd.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\223m3c5k.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ahrg.exe',''); QuarantineFile('C:\WINDOWS\System32\MsiSrv\smss.exe',''); QuarantineFile('C:\WINDOWS\system32\bugao.exe',''); QuarantineFile('C:\WINDOWS\system32\daji0.exe',''); QuarantineFile('C:\WINDOWS\system32\skytk.exe',''); QuarantineFile('C:\WINDOWS\system32\sh3sv.exe',''); QuarantineFile('C:\WINDOWS\system32\hmmm.exe',''); QuarantineFile('C:\WINDOWS\system32\hdw.exe',''); QuarantineFile('C:\WINDOWS\system32\dsd7c.exe',''); QuarantineFile('C:\WINDOWS\system32\zdawv.exe',''); QuarantineFile('C:\WINDOWS\system32\msdsdy.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit32.exe',''); QuarantineFile('C:\WINDOWS\system32\re32.exe',''); QuarantineFile('C:\WINDOWS\system32\rdit32.exe',''); QuarantineFile('c:\progra~1\cefeh\cefeh.zip',''); end.
Карантин отправил.
Некоторые файлы в карантин не загнались. Лог avz прикрепил.
Спасибо за помощь,но похоже, тему можно закрывать. DrWeb обновился и начал лечить недолеченое ранее. Значит проблема была в DNS.
сделайте новые логи
Новые логи
выполните скрипт
повторите логиКод:begin SetAVZGuardStatus(True); DeleteService('Shell32tion'); DeleteService('Spiritove'); DeleteService('systemover'); DeleteService('sdegfdfrwe DDOS Service'); DeleteService('sddsdaqewe DDOS Service'); DeleteService('PowerSuper'); DeleteService('npuServer'); DeleteService('MsiSrv'); DeleteService('msdsdear'); DeleteService('lang'); DeleteService('HpSLtionok'); DeleteService('BGrd Switch'); DeleteService('BGd Switch'); DeleteService('BackGround Switch'); DeleteService('assdsfia'); DeleteFile('C:\WINDOWS\system32\regedit32.exe'); DeleteFile('C:\WINDOWS\system32\re32.exe'); DeleteFile('C:\WINDOWS\system32\rdit32.exe'); DeleteFile('C:\WINDOWS\system32\mlddo.exe'); DeleteFile('C:\WINDOWS\system32\lang.exe'); DeleteFile('C:\WINDOWS\system32\Mcaerc.exe'); DeleteFile('C:\WINDOWS\System32\MsiSrv\smss.exe'); DeleteFile('C:\WINDOWS\system32\dsd7c.exe'); DeleteFile('C:\WINDOWS\system32\bugao.exe'); DeleteFile('C:\WINDOWS\system32\hmmm.exe'); DeleteFile('C:\WINDOWS\system32\hdw.exe'); DeleteFile('C:\WINDOWS\system32\daji0.exe'); DeleteFile('C:\WINDOWS\system32\sh3sv.exe'); DeleteFile('C:\WINDOWS\system32\skytk.exe'); DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\223m3c5k.exe'); DeleteFile('C:\WINDOWS\system32\14463f.dll'); DeleteFile('C:\WINDOWS\system32\mlEtNSmqBKiB.dll'); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторяю логи
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\msdsdy.exe',''); QuarantineFile('C:\WINDOWS\system32\zdawv.exe',''); DeleteService('DistribClient'); DeleteService('assdsfia'); DeleteFile('C:\WINDOWS\system32\zdawv.exe'); DeleteFile('C:\WINDOWS\system32\msdsdy.exe'); DeleteFile('C:\PROGRA~1\cefeh\cefeh.zip'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Логи
что с проблемами ?
Оставались проблемы с правами доступа к реестру, их решил. Тему можно закрывать.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\ahrg.exe - P2P-Worm.Win32.Palevo.aash ( DrWEB: Trojan.MulDrop1.12950, BitDefender: Backdoor.Tofsee.BU, AVAST4: Win32:Flot-E [Trj] )
- c:\progra~1\cefeh\cefeh.zip - Trojan-PSW.Win32.Bjlog.eap ( BitDefender: Trojan.Generic.2943837, NOD32: Win32/Redosdru.AW trojan, AVAST4: Win32:Malware-gen )
- d:\autorun.inf - Trojan.Win32.AutoRun.afz
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) zmitr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.