После лечения или удаления заново создаються и запускаються cfdrive32.exe cwdrive32.exe (33.exe~4358.exe каждые 5-10мин после подключения к интернету dr.web их блокирует в карантин)
После лечения или удаления заново создаються и запускаються cfdrive32.exe cwdrive32.exe (33.exe~4358.exe каждые 5-10мин после подключения к интернету dr.web их блокирует в карантин)
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\cfdrive32.exe',''); QuarantineFile('C:\WINDOWS.0\system32\87.exe',''); QuarantineFile('C:\WINDOWS.0\system32\82.exe',''); QuarantineFile('C:\WINDOWS.0\system32\81.exe',''); QuarantineFile('C:\WINDOWS.0\system32\78.exe',''); QuarantineFile('C:\WINDOWS.0\system32\76.exe',''); QuarantineFile('C:\WINDOWS.0\system32\75.exe',''); QuarantineFile('C:\WINDOWS.0\system32\74.exe',''); QuarantineFile('C:\WINDOWS.0\system32\73.exe',''); QuarantineFile('C:\WINDOWS.0\system32\72.exe',''); QuarantineFile('C:\WINDOWS.0\system32\71.exe',''); QuarantineFile('C:\WINDOWS.0\system32\70.exe',''); QuarantineFile('C:\WINDOWS.0\system32\68.exe',''); QuarantineFile('C:\WINDOWS.0\system32\61.exe',''); QuarantineFile('C:\WINDOWS.0\system32\60.exe',''); QuarantineFile('C:\WINDOWS.0\system32\57.exe',''); QuarantineFile('C:\WINDOWS.0\system32\56.exe',''); QuarantineFile('C:\WINDOWS.0\system32\54.exe',''); QuarantineFile('C:\WINDOWS.0\system32\52.exe',''); QuarantineFile('C:\WINDOWS.0\system32\50.exe',''); QuarantineFile('C:\WINDOWS.0\system32\46.exe',''); QuarantineFile('C:\WINDOWS.0\system32\45.exe',''); QuarantineFile('C:\WINDOWS.0\system32\44.scr',''); QuarantineFile('C:\WINDOWS.0\system32\42.exe',''); QuarantineFile('C:\WINDOWS.0\system32\40.exe',''); QuarantineFile('C:\WINDOWS.0\system32\35.exe',''); QuarantineFile('C:\WINDOWS.0\system32\30.exe',''); QuarantineFile('C:\WINDOWS.0\system32\27.exe',''); QuarantineFile('C:\WINDOWS.0\system32\26.scr',''); QuarantineFile('C:\WINDOWS.0\system32\25.exe',''); QuarantineFile('C:\WINDOWS.0\system32\21.exe',''); QuarantineFile('C:\WINDOWS.0\system32\18.exe',''); QuarantineFile('C:\WINDOWS.0\system32\17.exe',''); QuarantineFile('C:\WINDOWS.0\system32\16.exe',''); QuarantineFile('C:\WINDOWS.0\system32\15.exe',''); QuarantineFile('C:\WINDOWS.0\system32\14.exe',''); QuarantineFile('C:\WINDOWS.0\system32\13.exe',''); QuarantineFile('C:\WINDOWS.0\system32\11.exe',''); QuarantineFile('C:\WINDOWS.0\system32\07.exe',''); QuarantineFile('C:\WINDOWS.0\system32\06.exe',''); QuarantineFile('C:\WINDOWS.0\system32\04.exe',''); QuarantineFile('C:\WINDOWS.0\system32\03.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9235912982-9930206754-119352274-9837\winmap.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9235912982-9930206754-119352274-9837\winmap.exe'); DeleteFile('C:\WINDOWS.0\system32\03.exe'); DeleteFile('C:\WINDOWS.0\system32\04.exe'); DeleteFile('C:\WINDOWS.0\system32\06.exe'); DeleteFile('C:\WINDOWS.0\system32\07.exe'); DeleteFile('C:\WINDOWS.0\system32\11.exe'); DeleteFile('C:\WINDOWS.0\system32\13.exe'); DeleteFile('C:\WINDOWS.0\system32\14.exe'); DeleteFile('C:\WINDOWS.0\system32\15.exe'); DeleteFile('C:\WINDOWS.0\system32\16.exe'); DeleteFile('C:\WINDOWS.0\system32\17.exe'); DeleteFile('C:\WINDOWS.0\system32\18.exe'); DeleteFile('C:\WINDOWS.0\system32\21.exe'); DeleteFile('C:\WINDOWS.0\system32\25.exe'); DeleteFile('C:\WINDOWS.0\system32\26.scr'); DeleteFile('C:\WINDOWS.0\system32\27.exe'); DeleteFile('C:\WINDOWS.0\system32\30.exe'); DeleteFile('C:\WINDOWS.0\system32\35.exe'); DeleteFile('C:\WINDOWS.0\system32\40.exe'); DeleteFile('C:\WINDOWS.0\system32\42.exe'); DeleteFile('C:\WINDOWS.0\system32\44.scr'); DeleteFile('C:\WINDOWS.0\system32\45.exe'); DeleteFile('C:\WINDOWS.0\system32\46.exe'); DeleteFile('C:\WINDOWS.0\system32\50.exe'); DeleteFile('C:\WINDOWS.0\system32\52.exe'); DeleteFile('C:\WINDOWS.0\system32\54.exe'); DeleteFile('C:\WINDOWS.0\system32\56.exe'); DeleteFile('C:\WINDOWS.0\system32\57.exe'); DeleteFile('C:\WINDOWS.0\system32\60.exe'); DeleteFile('C:\WINDOWS.0\system32\61.exe'); DeleteFile('C:\WINDOWS.0\system32\68.exe'); DeleteFile('C:\WINDOWS.0\system32\70.exe'); DeleteFile('C:\WINDOWS.0\system32\71.exe'); DeleteFile('C:\WINDOWS.0\system32\72.exe'); DeleteFile('C:\WINDOWS.0\system32\73.exe'); DeleteFile('C:\WINDOWS.0\system32\74.exe'); DeleteFile('C:\WINDOWS.0\system32\75.exe'); DeleteFile('C:\WINDOWS.0\system32\78.exe'); DeleteFile('C:\WINDOWS.0\system32\81.exe'); DeleteFile('C:\WINDOWS.0\system32\76.exe'); DeleteFile('C:\WINDOWS.0\system32\82.exe'); DeleteFile('C:\WINDOWS.0\system32\87.exe'); DeleteFile('C:\WINDOWS.0\cfdrive32.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог полного сканирования МВАМ
MD5 131ac6a1b7223c4a027eed963819d0f8
Удалите в МВАМ
Сделайте новый лог МВАМКод:Заражённые процессы в памяти: c:\WINDOWS.0\cwdrive32.exe (Backdoor.Bot) -> 1636 -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.Bot) -> Value: Microsoft Driver Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.Bot) -> Value: Microsoft Driver Setup -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\psysnew (Backdoor.Bot) -> Value: psysnew -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken. Заражённые папки: c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken. Заражённые файлы: c:\WINDOWS.0\cwdrive32.exe (Backdoor.Bot) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe (Backdoor.Bot) -> No action taken. c:\RECYCLER\s-1-5-21-0708517320-0106727868-670595411-7913\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-8718861317-4067351499-148143179-6592\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-7897210379-0175324528-639272110-4321\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-5533208007-5521241008-100496125-6761\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-9468701358-3843983900-595935784-9063\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-9567168953-4031165607-551661932-4934\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-2804493897-7059781159-600524811-0793\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-2839615275-3942961236-312161948-5975\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-2917027624-7084952392-213796320-5652\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-2917411629-1235817306-639427219-4668\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-6201070709-2099412022-916259038-9717\syscr.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-9071827652-5720093902-524543496-2930\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-9235912982-9930206754-119352274-9837\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-6520148305-4807816934-747857333-1158\winmap.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-4393223755-1808740517-607346602-0493\syscr.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP28\A0011239.exe (Trojan.Dropper) -> No action taken. c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP29\A0014299.dll (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP30\A0016327.exe (Trojan.Dropper) -> No action taken. c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP30\A0016368.dll (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d4eb0637-bbd6-4782-81bd-0e80da2492e1}\RP75\A0029692.exe (Trojan.Dropper) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\gmep[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\gmep[2].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\naax[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\nnet[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\nnet[2].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\CWHEE2BC\tt[1].exe (Trojan.VBKrypt) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\I3ZWDOTQ\ditc[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\I3ZWDOTQ\gmep[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\I3ZWDOTQ\juoc[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\ciyk[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\ciyk[2].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\juoc[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\lxef[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\svid[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\MJYC6KKZ\svid[2].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\anineh[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\gmep[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\juoc[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\nnet[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\svid[1].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\svid[2].exe (Trojan.Agent) -> No action taken. c:\Users\networkservice\local settings\temporary internet files\Content.IE5\Y7DM936B\tt[1].exe (Trojan.VBKrypt) -> No action taken. c:\Users\администратор\application data\ltzqai.exe (Trojan.Agent) -> No action taken. c:\Users\администратор\application data\oekx.exe (Trojan.Agent) -> No action taken. c:\Users\администратор\local settings\temporary internet files\Content.IE5\6552X7GS\thenadioscbw[1]._ (Trojan.Agent) -> No action taken. c:\Users\администратор\local settings\temporary internet files\Content.IE5\6552X7GS\ehbew[1].vs (Trojan.Agent) -> No action taken. c:\Users\администратор\local settings\temporary internet files\Content.IE5\ELD59SQ6\fevwhnu[1].ea (Backdoor.Bot) -> No action taken. c:\Users\администратор\local settings\temporary internet files\Content.IE5\ELD59SQ6\psjefwbh[1]._ (Backdoor.Bot) -> No action taken. c:\Users\администратор\local settings\temporary internet files\Content.IE5\LAK3ABFJ\fevwhnu[1].ea (Backdoor.Bot) -> No action taken. c:\Users\администратор\local settings\temporary internet files\Content.IE5\LE4IVNEV\ehbew[1].vs (Trojan.Agent) -> No action taken. c:\Users\администратор\мои документы\downloads\xpadder_5.3_multilang_rus_portable_-_emulyator_dlya_djoystika.exe (Trojan.Dropper) -> No action taken. c:\WINDOWS.0\system32\02.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\system32\28.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\system32\65.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\system32\67.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\system32\83.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\Temp\021.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\Temp\3663.exe (Backdoor.Bot) -> No action taken. c:\WINDOWS.0\Temp\380.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\Temp\5504.exe (Backdoor.Bot) -> No action taken. c:\WINDOWS.0\Temp\743.exe (Trojan.Agent) -> No action taken. c:\WINDOWS.0\Temp\857.exe (Backdoor.Bot) -> No action taken. c:\documents and settings\администратор\application data\ltzqai.exe (Worm.Palevo) -> No action taken. c:\documents and settings\администратор\application data\oekx.exe (Worm.Palevo) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
Удалил, перезагрузил, проверил mbam, вроде всё проблемма решена.
Для контроля сделайте логи virusinfo_syscheck.zip и HijackThis
.
Что сейчас с проблемой?
Добавлено через 4 минуты
Выполните эту процедуру--http://virusinfo.info/showthread.php?t=3519
Последний раз редактировалось Шапельский Александр; 11.12.2010 в 18:48. Причина: Добавлено
- Выполните скрипт в AVZ
После перезагрузки:Код:procedure FixServiceStart(ServiceName:string;); var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.'); if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then begin RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2); AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.'); end; end; end; end; begin FixServiceStart('wscsvc'); SaveLog(GetAVZDirectory+'LOG\avz.log'); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Теперь сам запускаеться gwdrive32.exe и сам закрывает во время сканирования программы AVZ и МВАМ, после перезагруски создаеться и включаеться разные EXE-под номерами которые заново скачивают gwdrive32.exe
После 3-5 ч. вкл.интернета возникают ошибки generic host process
Последний раз редактировалось j-gurda; 15.12.2010 в 23:30.
Выполните скрипт
Закачайте карантин, сделайте комплект логов и лог МВАМКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\gwdrive32.exe',''); QuarantineFile('C:\WINDOWS.0\system32\88.scr',''); QuarantineFile('C:\WINDOWS.0\system32\77.scr',''); QuarantineFile('C:\WINDOWS.0\system32\72.scr',''); QuarantineFile('C:\WINDOWS.0\system32\32.exe',''); QuarantineFile('C:\WINDOWS.0\system32\27.scr',''); QuarantineFile('C:\WINDOWS.0\system32\24.exe',''); QuarantineFile('C:\WINDOWS.0\system32\22.scr',''); QuarantineFile('C:\WINDOWS.0\system32\14.scr',''); QuarantineFile('C:\WINDOWS.0\system32\04.scr',''); QuarantineFile('C:\WINDOWS.0\system32\13.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe',''); QuarantineFile('C:\WINDOWS.0\TEMP\3388.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2859583316-0262338211-590875377-7481\winmap.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe',''); QuarantineFile('c:\windows.0\gwdrive32.exe',''); TerminateProcessByName('c:\windows.0\gwdrive32.exe'); DeleteFile('c:\windows.0\gwdrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2859583316-0262338211-590875377-7481\winmap.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS.0\TEMP\3388.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe'); DeleteFile('C:\WINDOWS.0\system32\13.exe'); DeleteFile('C:\WINDOWS.0\system32\04.scr'); DeleteFile('C:\WINDOWS.0\system32\14.scr'); DeleteFile('C:\WINDOWS.0\system32\22.scr'); DeleteFile('C:\WINDOWS.0\system32\24.exe'); DeleteFile('C:\WINDOWS.0\system32\27.scr'); DeleteFile('C:\WINDOWS.0\system32\32.exe'); DeleteFile('C:\WINDOWS.0\system32\72.scr'); DeleteFile('C:\WINDOWS.0\system32\77.scr'); DeleteFile('C:\WINDOWS.0\system32\88.scr'); DeleteFile('C:\WINDOWS.0\gwdrive32.exe'); BC_ImportAll; ExecuteSysClean; Executerepair(11); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_Activate; RebootWindows(true); end.
Ошибка generic host process(возникает только со включиным интернетом после её звук и инет не работает, приходиться перезагружать) и разные #.EXE остались.
Карантин сохранён как 101216_003009_virus_4d09336148e63.zip
MD5 564129800555484a0bf130398ce4defb
1.удалите в MBAM все найденное
2. Выполните скрипт в AVZ
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFileMask('c:\Users\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
А также
Установите все новые обновления для Windows.
В противном случае сетевой червяк от Вас не отвяжется
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 54
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Trojan.Win32.Pincav.aoqs ( DrWEB: Trojan.Inject.18231, BitDefender: Trojan.Generic.KDV.85688, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\администратор\\application data\\oekx.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.17170, BitDefender: Trojan.Generic.KDV.89364, AVAST4: Win32:Trojan-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan.Win32.VBKrypt.ahbo ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.VBKrypt.4, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan.Win32.VBKrypt.agxz ( DrWEB: Trojan.Click.50748, BitDefender: Trojan.Generic.5194888, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-2859583316-0262338211-590875377-7481\\winmap.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )
- c:\\windows.0\\cwdrive32.exe - Trojan.Win32.VBKrypt.afqf ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5275433, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )
- c:\\windows.0\\gwdrive32.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.DownLoader1.44654, BitDefender: Gen:Variant.Tofsee.1, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\02.exe - P2P-Worm.Win32.Palevo.bjmi ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\04.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\13.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )
- c:\\windows.0\\system32\\14.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\22.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\24.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )
- c:\\windows.0\\system32\\27.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\28.exe - P2P-Worm.Win32.Palevo.bjmi ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\32.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Generic.5214135, AVAST4: Win32:Malware-gen )
- c:\\windows.0\\system32\\67.exe - P2P-Worm.Win32.Palevo.bjmj ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\72.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\77.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\system32\\88.scr - Backdoor.Win32.IRCBot.rkx ( DrWEB: Win32.HLLW.Autoruner.38012, BitDefender: Worm.Generic.324110, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Trojan-gen )
- c:\\windows.0\\temp\\3388.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Proxy.2751, BitDefender: Worm.Generic.293820, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) j-gurda, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.