system32\******\P001.exe
NOD ругался на файлы в папке Windows\System32\папка\*001.exe
Эти файлы создаются из "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\папка\a[16].exe"
Примерно так, названия, буквы и папки варируются. Я эту заразу вычищаю и все норм,... пока не вхожу в инет. Видно где то висит загрузчик, который сразу подтягивает все заново.
Cureit снес какие то библиотеки, но проблему не решил.
Выкладываю файлы от avz и hijackthis
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log'); DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}'); QuarantineFile('C:\NEXT\FILES\NEXT.exe',''); QuarantineFile('vsd.sys',''); DeleteService('vsd'); QuarantineFile('C:\WINDOWS\System32\ldsasclib.dll',''); QuarantineFile('c:\windows\system32\idsasvstart.dll',''); DeleteFile('c:\windows\system32\idsasvstart.dll'); DeleteFile('C:\WINDOWS\System32\ldsasclib.dll'); DeleteFile('vsd.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll'); DeleteFile('C:\NEXT\FILES\NEXT.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Файлы c:\wuauserv.log и c:\BITS.log прикрепите к своему сообщению
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи
Карантин подгрузил
Сижу в инете, вроде чисто.
СПС.
Последний раз редактировалось surgutfred; 18.08.2010 в 18:51.
1. Выполните скрипт в AVZ
После перезагрузки:Код:begin ExecuteRepair(19); RebootWindows(true); end.
2. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: IdsSrv NetSvc:: kqwfhvapb Folder:: c:\windows\system32\LMNCBVOD c:\windows\system32\LM08FH64 c:\windows\system32\LKIAPADX c:\windows\system32\CHFWKPE4 c:\windows\system32\8766HJCU c:\windows\system32\7NI3L71Z c:\windows\system32\MSJYP10Q Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "HgpSrv"=- "IdsSrv"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
3. Распкуйте фалы из вложения и внесите информацию в реестр, запустив их
Последний раз редактировалось polword; 26.08.2010 в 23:05.
ComboFix шибко ругается
поправил, делайте
Где правленное?
Если в том же окне, то все равно то же сообщение выдает.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\hgpasclib.dll c:\windows\system32\gff6.exe c:\windows\system32\ezsidmv.dat Driver:: IdsSrv kqwfhvapb NetSvc:: kqwfhvapb Folder:: c:\windows\system32\LMNCBVOD c:\windows\system32\LM08FH64 c:\windows\system32\LKIAPADX c:\windows\system32\CHFWKPE4 c:\windows\system32\8766HJCU c:\windows\system32\7NI3L71Z c:\windows\system32\MSJYP10Q Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "HgpSrv"=- "IdsSrv"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все равно выдает
Сохраните файл из вложения на рабочий стол и далее по тексту под окном кода
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\idsasvstart.dll - Net-Worm.Win32.Kolab.kiv ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.428550C7, NOD32: Win32/TrojanDownloader.Agent.QEK trojan, AVAST4: Win32:Alureon-NP [Trj] )
- c:\\windows\\system32\\ldsasclib.dll - Net-Worm.Win32.Kolab.klw ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.50B54F38, NOD32: Win32/TrojanDownloader.Agent.PID trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) surgutfred, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
