С помощью утилиты Dr. Web CureItв памяти обнаружил такой вирус "BackDoor.Tdss.565"запустил "AVPTool" нашел зараженный файл, но при попытке зайти на любой интивирусный сайт, доступ блокируется. Посмотрите пожалуйста логи.
С помощью утилиты Dr. Web CureItв памяти обнаружил такой вирус "BackDoor.Tdss.565"запустил "AVPTool" нашел зараженный файл, но при попытке зайти на любой интивирусный сайт, доступ блокируется. Посмотрите пожалуйста логи.
Последний раз редактировалось Alexa3310; 10.11.2010 в 09:56.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3f6fba4c.exe,\\?\globalroot\systemroot\system32\FRMBWwa.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\TEMP\shashki\Ch.exe',''); QuarantineFile('C:\WINDOWS\system32\3f6fba4c.exe',''); QuarantineFile('C:\WINDOWS\wi3dpi.dll',''); QuarantineFile('D:\Телефонный справочник_2007\Autorun.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\FRMBWwa.exe',''); QuarantineFile('C:\WINDOWS\svchest.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\FRMBWwa.exe'); DeleteFile('C:\WINDOWS\system32\3f6fba4c.exe'); DeleteFile('C:\WINDOWS\svchest.exe'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); ExecuteWizard('TSW',2,2,true); ExecuteRepair(1); ExecuteRepair(20); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи + проверьтесь так и приложите лог сюда http://support.kaspersky.ru/faq/?qid=208636926
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
файл quarantine.zip прислал
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\wi3dpi.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Staqawanubililah'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторяю логи + проверился
Последний раз редактировалось Alexa3310; 10.11.2010 в 09:56.
virusinfo_cure.zip - это карантин, нужно убрать из вложений, а лог TDSSKiller прикрепите к сообщению.
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\svchest.exe'); DelCLSID('D61C4DC5-64D2-0411-2127-DF7F148E1A78'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите лог virusinfo_syscheck.zip + сделайте лог MBAM
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system\dwm.exe',''); DelCLSID('{D61C4DC5-64D2-0411-2127-DF7F148E1A78}'); DeleteFile('C:\WINDOWS\svchest.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
новый virusinfo_syscheck.zip и запрошенный quarantine.zip загрузил
Последний раз редактировалось Alexa3310; 10.11.2010 в 09:56.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('darkness'); DeleteFile('C:\WINDOWS\system\dwm.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('darkness'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
скрипт выполнил, повторный лог прикрепил
Последний раз редактировалось Alexa3310; 10.11.2010 в 09:56.
проверим еще один файлик
- Выполните скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\cam2_sv.exe'); QuarantineFile('c:\windows\system32\cam2_sv.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
скрипт выполнил. Файл quarantine.zip загрузил
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
файл чистый... лечение можно считать законченнымc:\windows\system32\cam2_sv.exe
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\wi3dpi.dll - Trojan-Downloader.Win32.Mufanom.aafz ( DrWEB: BackDoor.Tdss.3839, BitDefender: Gen:Variant.Hiloti.1, AVAST4: Win32:Hilot [Trj] )
Уважаемый(ая) Alexa3310, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.