Junior Member
Вес репутации
49
Сделал. Четыре часа почти он колбасил, кучу всего наудалял, ни аськи теперь нет, ни утилит, ни плэеров... А эти все на месте!
Только теперь еще и при обычной загрузке вообще ничего не происходит - после надписи Windows рабочий стол уже не показывается, сразу чернота...
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да уж... Сколько было тем с этой болячкой, всех за 2-3 итерации вылечивали, а у вас прямо заколдованный какой-то... Нет, вы их определенно откуда-то заносите, или кто-то вам заносит
Ну давайте еще попробуем.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\and\LOCALS~1\Temp\440853.exe');
DeleteFile('C:\DOCUME~1\and\LOCALS~1\Temp\781.exe');
DeleteFile('C:\Documents and Settings\and\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2473978735-1311388094-824176227-0061\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3566680281-9189260886-845043161-0053\winmap.exe');
DeleteFile('C:\Documents and Settings\and\Application Data\oekx.exe');
DeleteFile('C:\WINDOWS\TEMP\WinDefender.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
49
А как занести - ничего никуда никто не втыкает, ничего не качает и ничего не запускает, кроме специальных вирусоборческих программ...
Вложения
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\and\Application Data\ltzqai.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
49
Теперь чисто. Что в нормальном режиме?
I am not young enough to know everything...
Junior Member
Вес репутации
49
Не загружается.
Может, снять видео, продемонстрировать происходящее?
Сообщение от
ole g
Четыре часа почти он колбасил, кучу всего наудалял, ни аськи теперь нет, ни утилит, ни плэеров.
Помимо этого, в логах видно, что отсутствует ряд системных ехе-шников. Наверно, был у вас файловый вирус, который ДрВеб лечить не умеет, а потому поудалял все зараженные.
Я думаю, что проблему решит только установка Windows "поверх" вашей, т.е. в режиме восстановления.
I am not young enough to know everything...
Junior Member
Вес репутации
49
В общем, они опять все на месте. И сабжевая троица, и цифровые экзешники в темпе.
Будем бороться, или переустанавливаться, признав поражение?..
Junior Member
Вес репутации
49
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
FMOVE::
c:\windows\ServicePackFiles\i386\wuauclt.exe|c:\windows\System32\wuauclt.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe .
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
- Сделайте лог MBAM
Junior Member
Вес репутации
49
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
что с проблемой?
Junior Member
Вес репутации
49
Сделал. Ну что... сабжевых друзей вроде больше не видно.
Но система в обычном режиме по-прежнему не загружается, вероятно, по причине удаления в ходе антивирусной борьбы ряда необходимых файлов и ключей реестра. Как теперь все привести в работоспособное состояние? Установкой Windows в режиме восстановления? Или есть какие-то более прогрессивные способы?..
- Удалите ComboFix
Найдите диск с Windows ХР Service Pack 3 и переустановите Windows, так как написано тут:
Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP
Junior Member
Вес репутации
49
Воспользовался способом 2. Хрень какая-то творится - после установки новой системы не полегчало - она теперь доходит до загрузки экрана с Windows и перегружается сама... В итоге - опять только в безопасном режиме. Я прям уже и не знаю...
Очевидно, придется начисто переустанавливать.
Да может, оно и к лучшему...
I am not young enough to know everything...
Junior Member
Вес репутации
49
Ну видимо да.
Вот так пара троянов угандошили безупречную систему...
В любом случае - спасибо за участие в решении проблемы, друзья!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 77 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\and\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.12993, BitDefender: Trojan.Generic.KDV.62564, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\documents and settings\\and\\application data\\oekx.exe - Trojan.Win32.Pincav.akcv ( DrWEB: Trojan.Inject.13057, BitDefender: Trojan.Generic.KDV.62564, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\docume~1\\and\\locals~1\\temp\\0466303.exe - P2P-Worm.Win32.Palevo.bfxd ( DrWEB: Trojan.Packed.21118, BitDefender: Trojan.Generic.4971321, AVAST4: Win32:Malware-gen ) c:\\docume~1\\9335~1\\locals~1\\temp\\28347.exe - P2P-Worm.Win32.Palevo.bfxd ( DrWEB: Trojan.Packed.21118, BitDefender: Trojan.Generic.4971321, AVAST4: Win32:Malware-gen ) c:\\recycler\\s-1-5-21-4962782565-5577275224-167854618-6570\\syscr.exe - P2P-Worm.Win32.Palevo.bgpu ( DrWEB: Trojan.Inject.12991, BitDefender: Trojan.Generic.5320387, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\recycler\\s-1-5-21-5396712929-3480602652-659059580-9908\\winmap.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\dn.exe - Backdoor.Win32.Bifrose.dgkp ( DrWEB: Trojan.Packed.21185, BitDefender: Trojan.Generic.KDV.62975, AVAST4: Win32:VB-QLD [Drp] ) c:\\windows\\system32\\dn.exe - Backdoor.Win32.Bifrose.dgxj ( DrWEB: Trojan.Packed.21185, BitDefender: Trojan.Generic.KDV.62975, AVAST4: Win32:VB-QLD [Drp] ) c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fiw ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.5077651, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Malware-gen ) c:\\windows\\system32\\01.exe - P2P-Worm.Win32.Palevo.bgpu ( DrWEB: Trojan.Inject.12991, BitDefender: Trojan.Generic.5320387, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\13.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\15.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\18.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\21.exe - P2P-Worm.Win32.Palevo.bgpu ( DrWEB: Trojan.Inject.12991, BitDefender: Trojan.Generic.5320387, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\23.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\24.exe - P2P-Worm.Win32.Palevo.bgpu ( DrWEB: Trojan.Inject.12991, BitDefender: Trojan.Generic.5320387, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\25.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\35.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\62.exe - P2P-Worm.Win32.Palevo.bgzj ( DrWEB: Trojan.Inject.13058, BitDefender: Trojan.Generic.5067515, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\system32\\84.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13043, BitDefender: Trojan.Generic.7457382, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] ) c:\\windows\\temp\\windefender.exe - Backdoor.Win32.Bifrose.dgxj ( DrWEB: Trojan.Packed.21185, BitDefender: Trojan.Generic.KDV.62975, AVAST4: Win32:VB-QLD [Drp] ) c:\\windows\\winlogin.exe - Backdoor.Win32.Bifrose.dgkk ( DrWEB: Trojan.Packed.21185, BitDefender: Trojan.Generic.KDV.62975, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-QLD [Drp] )