Всех с наступившим!Пришел на работу после праздников,а там
Всех с наступившим!Пришел на работу после праздников,а там
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\30.exe',''); QuarantineFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\63.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\009.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\04557.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\1845865.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\185.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\244.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\2795.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\3340.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\3439.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\410.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\4732.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\503234.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\5246865.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\56492.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\7325493.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\76744.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\8186373.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\840.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temp\845733.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Local Settings\Temporary Internet Files\Content.IE5\1GVUGUUG\7[1].exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-6074322078-7889961260-481664612-0795\csidrv.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001312.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001326.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001332.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001340.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001346.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001354.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0002354.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004695.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004696.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006698.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006699.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006700.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000227.exe',''); QuarantineFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000228.exe',''); DeleteFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\30.exe'); DeleteFile('C:\Documents and Settings\РМ\DoctorWeb\Quarantine\63.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\009.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\04557.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\1845865.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\185.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\244.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\2795.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\3340.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\3439.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\410.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\4732.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\503234.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\5246865.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\56492.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\7325493.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\76744.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\8186373.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\840.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temp\845733.exe'); DeleteFile('C:\Documents and Settings\РМ\Local Settings\Temporary Internet Files\Content.IE5\1GVUGUUG\7[1].exe'); DeleteFile('C:\RECYCLER\S-1-5-21-6074322078-7889961260-481664612-0795\csidrv.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001312.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001326.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP11\A0001332.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001340.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001346.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0001354.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP12\A0002354.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004695.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0004696.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006698.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006699.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP18\A0006700.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000227.exe'); DeleteFile('C:\System Volume Information\_restore{01169C78-BB50-4EE1-BEE4-4EA06DCD014F}\RP9\A0000228.exe'); QuarantineFile('C:\WINDOWS\gwdrive32.exe',''); QuarantineFile('I:\autorun.inf',''); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Application Data\ltzqai.exe',''); QuarantineFile('C:\Documents and Settings\РМ\Application Data\bowcav.exe,explorer.exe,C:\Documents and Settings\РМ\Application Data\ltzqai.exe',''); QuarantineFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc23.tmp',''); DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc23.tmp'); DeleteFile('C:\Documents and Settings\РМ\Application Data\bowcav.exe,explorer.exe,C:\Documents and Settings\РМ\Application Data\ltzqai.exe'); DeleteFile('C:\Documents and Settings\РМ\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\ggdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('I:\autorun.inf'); DeleteFile('C:\WINDOWS\gwdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); DeleteFileMask('C:\Documents and Settings\РМ\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Логи
еще раз Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ (если диск I -флешка-выполнять с подключеной флешкой)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc214.tmp'); DeleteFile('I:\autorun.inf'); DeleteFile('I:\myfolder\myfile.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
+ такой лог еще
Логи
- удалите в MBAM
- Выполните скрипт в AVZКод:Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Заражённые файлы: c:\documents and settings\РМ\application data\bowcav.exe (Trojan.Agent) -> No action taken. c:\documents and settings\РМ\application data\ltzqai.exe (Trojan.Agent) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc2D.tmp'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\DOCUME~1\C142~1\LOCALS~1\Temp\mc2D.tmp'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
Логи
E:\autorun.inf - знаком?
Если нет, выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('E:\autorun.inf ',''); DeleteFile('E:\autorun.inf '); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip
Добавлено через -13 секунд
E:\autorun.inf - знаком?
Если нет, выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('E:\autorun.inf ',''); DeleteFile('E:\autorun.inf '); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip
Последний раз редактировалось polword; 19.01.2011 в 13:25. Причина: Добавлено
Все тот же компьютер,не заходит в интернет
Внимание !!! База поcледний раз обновлялась 06.01.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Paula rhei.
Поддержать проект можно тут
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 87
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\ggdrive32.exe - Backdoor.Win32.IRCBot.rsl ( DrWEB: Trojan.DownLoader1.52915, BitDefender: Trojan.Generic.7567391, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\gwdrive32.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.104459, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Duxa_sk8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.