Логи:
Логи:
Последний раз редактировалось atz; 01.08.2010 в 13:00.
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\f8c31c.exe O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Run: [zeboov] C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe O4 - HKCU\..\Run: [pazemmoum] C:\Documents and Settings\Андрей\Application Data\Microsoft\rossibujous.exe O4 - HKCU\..\Run: [hyce] C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Policies\Explorer\Run: [Dr.Watson] C:\WINDOWS\system32\sysnkey32.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O23 - Service: Backbone Service (egryjurrz) - Four-F - C:\Documents and Settings\Андрей\Application Data\Microsoft\vavoomou.exe O23 - Service: Websense CPM Report Scheduler (ucodwpahuwobeui) - Four-F - C:\Documents and Settings\Андрей\Application Data\Microsoft\byfabool.exe O23 - Service: Asset Management Daemon (y5eoea5npoum2erk) - Four-F - C:\Documents and Settings\Андрей\Application Data\Microsoft\douny.exe
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\f8c31c.exe'); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\oreaw.exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe',''); QuarantineFile('C:\WINDOWS\system32\f8c31c.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\rossibujous.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe',''); DeleteService('bdjbcpnhgbonw'); QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\imjvxnonzyap.sys',''); QuarantineFile('C:\WINDOWS\system32\SearchIndexer.exe',''); DeleteService('ucodwpahuwobeui'); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\byfabool.exe',''); DeleteService('egryjurrz'); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\vavoomou.exe',''); QuarantineFile('c:\windows\system32\userini.exe',''); QuarantineFile('c:\documents and settings\Андрей\application data\microsoft\ligoujoro.exe',''); TerminateProcessByName('c:\documents and settings\Андрей\application data\microsoft\ligoujoro.exe'); QuarantineFile('c:\windows\system32\f8c31c.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv751277121687.exe',''); DeleteFile('C:\WINDOWS\Temp\wpv751277121687.exe'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe'); DeleteFile('c:\windows\system32\f8c31c.exe'); DeleteFile('c:\documents and settings\Андрей\application data\microsoft\ligoujoro.exe'); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\vavoomou.exe'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\byfabool.exe'); DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\imjvxnonzyap.sys'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\ligoujoro.exe'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\Microsoft\rossibujous.exe'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\mrpky.exe'); DeleteFile('C:\WINDOWS\system32\f8c31c.exe'); DeleteFile('C:\WINDOWS\system32\sysnkey32.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\Андрей\Application Data\oreaw.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
повторные логи:
Последний раз редактировалось atz; 01.08.2010 в 13:00.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip'); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); BC_DeleteReg('HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman'); BC_DeleteSvc('bdjbcpnhgbonw'); BC_DeleteReg('HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Dr.Watson'); BC_Activate; RebootWindows(true); end.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\андрей\application data\microsoft\byfabool.exe - Trojan-Dropper.Win32.Vidro.bmm ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\андрей\application data\microsoft\ligoujoro.exe - Trojan-Dropper.Win32.Vidro.bmm ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\андрей\application data\microsoft\rossibujous.exe - Trojan-Dropper.Win32.Vidro.bmm ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\андрей\application data\microsoft\vavoomou.exe - Trojan-Dropper.Win32.Vidro.bmm ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- c:\documents and settings\андрей\application data\mrpky.exe - Backdoor.Win32.Oserdi.ah ( DrWEB: Trojan.Packed.20427 )
- c:\documents and settings\андрей\application data\oreaw.exe - Trojan.Win32.Agent.eiin ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Buzus.HO, AVAST4: Win32:Malware-gen )
- c:\docume~1\86a9~1\locals~1\temp\imjvxnonzyap.sys - Rootkit.Win32.Agent.bhvx ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.381265, AVAST4: Win32:Malware-gen )
- c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CQ, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\f8c31c.exe - Trojan.Win32.Buzus.enth ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4215795, AVAST4: Win32:Delfcrypt-F [Drp] )
- c:\windows\system32\sysnkey32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Click.1014, AVAST4: Win32:Malware-gen )
- c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CQ )
- c:\windows\temp\wpv751277121687.exe - Email-Worm.Win32.Joleee.euj ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CQ, NOD32: Win32/SpamTool.Tedroo.AF trojan, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) atz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.