Каспер орет "обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\system32\services.exe".
Когда комп в сети-начинается отсылка спама.
Логи имеются.
Каспер орет "обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\system32\services.exe".
Когда комп в сети-начинается отсылка спама.
Логи имеются.
- Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по ytyhwqkc и выберите "Turn Run Off". Перезагрузку подтвердите.
- теже действия повторите для qtasu
1.Профиксите в HijackThis
2.Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe',''); QuarantineFile('c:\documents and settings\support\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\qtasu.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ytyhwqkc.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ytyhwqkc.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\qtasu.sys'); DeleteFile('c:\documents and settings\support\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); QuarantineFile('C:\Program Files\omNovia\Secure Recorder\setProtocol.exe',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог Gmer
выполнил все выше описанные действия, новые логи прикрепляю. gmer лог прикреплю позже, еще не завершилось сканирование
лог gmer
1.Сохраните текст ниже как 1.bat в ту же папку, где находится ifv1wqnm.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:ifv1wqnm.exe -del service xmbsotz ifv1wqnm.exe -del file "C:\WINDOWS\system32\gqvumv.dll" ifv1wqnm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xmbsotz" ifv1wqnm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xmbsotz" ifv1wqnm.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xmbsotz" ifv1wqnm.exe -reboot
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
лог:
также появился трабл с MS office outlook 2007. при запуске орет: "невозможно открыть почтовые папки, используемые по умолчанию" при нажатии на кнопку ок, закрывается.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteService('vvjcxr'); DeleteFile('C:\WINDOWS\system32\01.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Файл сохранён как 100827_121029_quarantine_4c7772f5e84f6.zip
Размер файла 584
MD5 a9fabd4479692ad0959247fc5b9f6a8d
лог проверки:
В логе подозрительного нет.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
Спасибо за помощь. С почтой разобрался сам-все восстановил.
пожалуйста
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ytyhwqkc.sys - Rootkit.Win32.Bubnix.abt ( DrWEB: Trojan.Bubnix.1, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )
- c:\\windows\\system32\\wuaucldt.exe - Trojan.Win32.Small.acyq ( DrWEB: Trojan.DownLoader1.18803, BitDefender: Gen:Variant.TDss.17, NOD32: Win32/Wigon.OK trojan, AVAST4: Win32:Small-NPB [Drp] )
Уважаемый(ая) NRGize, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.