вирусы как обычно. логи прилагаются
вирусы как обычно. логи прилагаются
Отключите восстановление системы!
В AVZ - файл - выполнить скрипт
После выполнения скрипта компьютер перезагрузится.Код:procedure FixUpdate; var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; end; begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\waieaprnlib.dll',''); QuarantineFile('G:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\Temp\nic9.tmp',''); QuarantineFile('C:\WINDOWS\Temp\fpcB.tmp',''); QuarantineFile('C:\WINDOWS\Temp\dpcA.tmp',''); QuarantineFile('C:\WINDOWS\ali.exe',''); TerminateProcessByName('c:\windows\system32\t0a5p8hq\z001.exe'); TerminateProcessByName('c:\windows\20110116\vmh88288fpgfsxdh\smss.exe'); TerminateProcessByName('c:\windows\system32\serivces.exe'); TerminateProcessByName('c:\program files\common files\system\sdb.exe'); TerminateProcessByName('c:\windows\system32\pilviq.exe'); TerminateProcessByName('c:\windows\system32\ookyou.exe'); TerminateProcessByName('c:\windows\system32\mqucqg.exe'); TerminateProcessByName('c:\windows\system32\mmgkme.exe'); TerminateProcessByName('c:\windows\system32\iekywc.exe'); TerminateProcessByName('c:\windows\system32\t\g002.exe'); TerminateProcessByName('c:\windows\system32\i5vznibl\g002.exe'); TerminateProcessByName('c:\windows\system32\t\g001.exe'); TerminateProcessByName('c:\windows\system32\fzcs.exe'); TerminateProcessByName('c:\windows\system32\t\f001.exe'); TerminateProcessByName('c:\windows\system32\vl2e220e\f001.exe'); TerminateProcessByName('c:\windows\system32\wdebmkc3\f001.exe'); TerminateProcessByName('c:\windows\system32\t\e003.exe'); TerminateProcessByName('c:\windows\system32\kr07gaqk\e001.exe'); TerminateProcessByName('c:\windows\system32\t\e001.exe'); TerminateProcessByName('c:\windows\system32\eevqaq6o\c19.exe'); TerminateProcessByName('c:\windows\system32\bontos.exe'); TerminateProcessByName('c:\windows\system32\0b4ekbe0\b99.exe'); QuarantineFile('C:\WINDOWS\system32\Drivers\PCIDump.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\einnls.vbs',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ahiiqz.vbs',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\360vbs.jse',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ .jse',''); QuarantineFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css',''); QuarantineFile('C:\WINDOWS\system32\msconfig32.sys',''); QuarantineFile('C:\Program Files\yqeaii.exe',''); QuarantineFile('C:\Program Files\gmaeie.exe',''); QuarantineFile('C:\Program Files\yggegq.exe',''); QuarantineFile('C:\Program Files\qicqae.exe',''); QuarantineFile('C:\Program Files\xktjko.exe',''); QuarantineFile('C:\Documents and Settings\pcbrcm.exe',''); QuarantineFile('C:\WINDOWS\system32\WinH12.exe',''); QuarantineFile('C:\WINDOWS\system32\WinH11.exe',''); QuarantineFile('C:\WINDOWS\system32\MiaoshaXP.exe',''); QuarantineFile('C:\WINDOWS\system32\WinHewelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\0B4EKBE0\B99.exe',''); QuarantineFile('C:\WINDOWS\system32\t\F001.exe',''); QuarantineFile('C:\WINDOWS\system32\I5VZNIBL\G002.exe',''); QuarantineFile('C:\WINDOWS\system32\t\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\bontos.exe',''); QuarantineFile('C:\WINDOWS\system32\iekywc.exe',''); QuarantineFile('C:\WINDOWS\system32\WDEBMKC3\F001.exe',''); QuarantineFile('C:\Program Files\Common Files\System\sdb.exe',''); QuarantineFile('C:\WINDOWS\system32\pilviq.exe',''); QuarantineFile('C:\WINDOWS\system32\t\G002.exe',''); QuarantineFile('C:\WINDOWS\system32\serivces.exe',''); QuarantineFile('C:\WINDOWS\system32\KR07GAQK\E001.exe',''); QuarantineFile('C:\WINDOWS\system32\t\E003.exe',''); QuarantineFile('C:\WINDOWS\system32\EEVQAQ6O\C19.exe',''); QuarantineFile('C:\WINDOWS\system32\ookyou.exe',''); QuarantineFile('C:\WINDOWS\system32\t\G001.exe',''); QuarantineFile('C:\WINDOWS\system32\mqucqg.exe',''); QuarantineFile('C:\WINDOWS\system32\mmgkme.exe',''); QuarantineFile('C:\WINDOWS\system32\T0A5P8HQ\Z001.exe',''); QuarantineFile('C:\WINDOWS\system32\fzcs.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\MiaoshaXP.exe',''); QuarantineFile('C:\WINDOWS\system32\acpi24.sys',''); QuarantineFile('c:\windows\system32\waiuaprnlib.dll',''); QuarantineFile('c:\windows\system32\t0a5p8hq\z001.exe',''); QuarantineFile('c:\windows\20110116\vmh88288fpgfsxdh\smss.exe',''); QuarantineFile('c:\windows\system32\serivces.exe',''); QuarantineFile('c:\program files\common files\system\sdb.exe',''); QuarantineFile('c:\windows\system32\pilviq.exe',''); QuarantineFile('c:\windows\system32\ookyou.exe',''); QuarantineFile('c:\windows\system32\mqucqg.exe',''); QuarantineFile('c:\windows\system32\mmgkme.exe',''); QuarantineFile('c:\windows\system32\iekywc.exe',''); QuarantineFile('c:\windows\system32\t\g002.exe',''); QuarantineFile('c:\windows\system32\i5vznibl\g002.exe',''); QuarantineFile('c:\windows\system32\t\g001.exe',''); QuarantineFile('c:\windows\system32\fzcs.exe',''); QuarantineFile('c:\windows\system32\t\f001.exe',''); QuarantineFile('c:\windows\system32\vl2e220e\f001.exe',''); QuarantineFile('c:\windows\system32\wdebmkc3\f001.exe',''); QuarantineFile('c:\windows\system32\t\e003.exe',''); QuarantineFile('c:\windows\system32\kr07gaqk\e001.exe',''); QuarantineFile('c:\windows\system32\t\e001.exe',''); QuarantineFile('c:\windows\system32\eevqaq6o\c19.exe',''); QuarantineFile('c:\windows\system32\bontos.exe',''); QuarantineFile('c:\windows\system32\0b4ekbe0\b99.exe',''); QuarantineFile('C:\WINDOWS\20110116\Vmh88288FPgFSXDH\smss.exe',''); DeleteFile('C:\WINDOWS\20110116\Vmh88288FPgFSXDH\smss.exe'); DeleteFile('c:\windows\system32\0b4ekbe0\b99.exe'); DeleteFile('c:\windows\system32\bontos.exe'); DeleteFile('c:\windows\system32\eevqaq6o\c19.exe'); DeleteFile('c:\windows\system32\t\e001.exe'); DeleteFile('c:\windows\system32\kr07gaqk\e001.exe'); DeleteFile('c:\windows\system32\t\e003.exe'); DeleteFile('c:\windows\system32\wdebmkc3\f001.exe'); DeleteFile('c:\windows\system32\vl2e220e\f001.exe'); DeleteFile('c:\windows\system32\t\f001.exe'); DeleteFile('c:\windows\system32\fzcs.exe'); DeleteFile('c:\windows\system32\t\g001.exe'); DeleteFile('c:\windows\system32\i5vznibl\g002.exe'); DeleteFile('c:\windows\system32\t\g002.exe'); DeleteFile('c:\windows\system32\iekywc.exe'); DeleteFile('c:\windows\system32\mmgkme.exe'); DeleteFile('c:\windows\system32\mqucqg.exe'); DeleteFile('c:\windows\system32\ookyou.exe'); DeleteFile('c:\windows\system32\pilviq.exe'); DeleteFile('c:\program files\common files\system\sdb.exe'); DeleteFile('c:\windows\system32\serivces.exe'); DeleteFile('c:\windows\20110116\vmh88288fpgfsxdh\smss.exe'); DeleteFile('c:\windows\system32\t0a5p8hq\z001.exe'); DeleteFile('C:\WINDOWS\system32\acpi24.sys'); DeleteFile('C:\Program Files\Internet Explorer\MiaoshaXP.exe'); DeleteFile('C:\WINDOWS\system32\fzcs.exe'); DeleteFile('C:\WINDOWS\system32\T0A5P8HQ\Z001.exe'); DeleteFile('C:\WINDOWS\system32\mmgkme.exe'); DeleteFile('C:\WINDOWS\system32\mqucqg.exe'); DeleteFile('C:\WINDOWS\system32\t\G001.exe'); DeleteFile('C:\WINDOWS\system32\ookyou.exe'); DeleteFile('C:\WINDOWS\system32\EEVQAQ6O\C19.exe'); DeleteFile('C:\WINDOWS\system32\t\E003.exe'); DeleteFile('C:\WINDOWS\system32\KR07GAQK\E001.exe'); DeleteFile('C:\WINDOWS\system32\serivces.exe'); DeleteFile('C:\WINDOWS\system32\t\G002.exe'); DeleteFile('C:\WINDOWS\system32\pilviq.exe'); DeleteFile('C:\Program Files\Common Files\System\sdb.exe'); DeleteFile('C:\WINDOWS\system32\WDEBMKC3\F001.exe'); DeleteFile('C:\WINDOWS\system32\iekywc.exe'); DeleteFile('C:\WINDOWS\system32\bontos.exe'); DeleteFile('C:\WINDOWS\system32\t\E001.exe'); DeleteFile('C:\WINDOWS\system32\I5VZNIBL\G002.exe'); DeleteFile('C:\WINDOWS\system32\t\F001.exe'); DeleteFile('C:\WINDOWS\system32\0B4EKBE0\B99.exe'); DeleteFile('C:\WINDOWS\system32\WinHewelp32.exe'); DeleteFile('C:\WINDOWS\system32\MiaoshaXP.exe'); DeleteFile('C:\WINDOWS\system32\WinH11.exe'); DeleteFile('C:\WINDOWS\system32\WinH12.exe'); DeleteFile('C:\Documents and Settings\pcbrcm.exe'); DeleteFile('C:\Program Files\xktjko.exe'); DeleteFile('C:\Program Files\qicqae.exe'); DeleteFile('C:\Program Files\yggegq.exe'); DeleteFile('C:\Program Files\gmaeie.exe'); DeleteFile('C:\Program Files\yqeaii.exe'); DeleteFile('C:\WINDOWS\system32\msconfig32.sys'); DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css'); DeleteFile('C:\WINDOWS\system32\Drivers\PCIDump.sys'); DeleteFile('C:\WINDOWS\ali.exe'); DeleteFile('C:\WINDOWS\Temp\dpcA.tmp'); DeleteFile('C:\WINDOWS\Temp\fpcB.tmp'); DeleteFile('C:\WINDOWS\Temp\nic9.tmp'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe'); DeleteFile('C:\WINDOWS\system32\waieaprnlib.dll'); DeleteFileMask('c:\windows\system32\0b4ekbe0\', '*.*', true); DeleteFileMask('c:\windows\system32\eevqaq6o\', '*.*', true); DeleteFileMask('c:\windows\system32\t\', '*.*', true); DeleteFileMask('c:\windows\system32\kr07gaqk\', '*.*', true); DeleteFileMask('c:\windows\system32\wdebmkc3\', '*.*', true); DeleteFileMask('c:\windows\system32\vl2e220e\', '*.*', true); DeleteFileMask('c:\windows\system32\i5vznibl\', '*.*', true); DeleteFileMask('c:\windows\20110116\', '*.*', true); DeleteFileMask('c:\windows\system32\t0a5p8hq\', '*.*', true); DeleteFileMask('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\', '*.*', true); DeleteFileMask('C:\Documents and Settings\1\DoctorWeb\Quarantine\', '*.*', true); DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true); DeleteDirectory('c:\windows\system32\0b4ekbe0\'); DeleteDirectory('c:\windows\system32\eevqaq6o\'); DeleteDirectory('c:\windows\system32\t\'); DeleteDirectory('c:\windows\system32\kr07gaqk\'); DeleteDirectory('c:\windows\system32\wdebmkc3\'); DeleteDirectory('c:\windows\system32\vl2e220e\'); DeleteDirectory('c:\windows\system32\i5vznibl\'); DeleteDirectory('c:\windows\20110116\'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','micrososoot'); BC_ImportAll; BC_DeleteSvc('12312312312312321'); BC_DeleteSvc('3600'); BC_DeleteSvc('asfdsfdsfds'); BC_DeleteSvc('asOQWYZN'); BC_DeleteSvc('BSuWAcmv'); BC_DeleteSvc('cSWHKiER'); BC_DeleteSvc('err'); BC_DeleteSvc('FVweWIQq'); BC_DeleteSvc('grft'); BC_DeleteSvc('hackfans'); BC_DeleteSvc('PlugPlayCM'); BC_DeleteSvc('rBpqhvFC'); BC_DeleteSvc('rYHlGiiZ'); BC_DeleteSvc('SPOOLSVC'); BC_DeleteSvc('uDGijAKb'); BC_DeleteSvc('vfd'); BC_DeleteSvc('vMBSPaHR'); BC_DeleteSvc('vtgt'); BC_DeleteSvc('XBtUaeKw'); BC_DeleteSvc('YNTpOThF'); BC_DeleteSvc('ewwep32'); BC_DeleteSvc('FontViewer'); BC_DeleteSvc('WinHe11'); BC_DeleteSvc('WinHelp12'); BC_DeleteSvc('WMMNasasdsadEqi'); BC_DeleteSvc('WMMNetworkEfr'); BC_DeleteSvc('WMMNetworkIte'); BC_DeleteSvc('WMMNetworkNqw'); BC_DeleteSvc('WMMNetworkTte'); BC_DeleteSvc('WMMNetworkXsd'); BC_DeleteSvc('acpi24Drv'); BC_DeleteSvc('msconfig32Drv'); BC_DeleteSvc('PCIDump'); ExecuteSysClean; FixUpdate; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ пришлите по ссылке Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine .zip'); end.
Сделайте повторно проверку CureIt.
Повторите логи по правилам.
p.s. ОТКУДА столько зверей и КАК компьютер вообще работал? Вы мне вынесли мозг
Последний раз редактировалось light59; 24.01.2011 в 19:27.
компьютер не мой ))) а сотрудницы. женщина в возрасте с техникой не очень. вот я и сам удивляюсь что она могла на нем делать. там 150 процессов было одновременно.
за мозг извиняйте )))
итак продолжаем новые логи и фото рабочего стола. что это такое и как эту заразу удалить?
Последний раз редактировалось mcroma; 25.01.2011 в 20:40.
Сделайте лог http://support.kaspersky.ru/viruses/...?qid=208636926
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
логи
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\wlqzco.vbs c:\windows\gyfuoc.vbs c:\windows\vdcgjr.vbs c:\windows\tcrvns.vbs c:\windows\system32\waiuapsclib.dll c:\windows\system32\waiuaprnlib.dll c:\windows\system32\waiqapsclib.dll c:\program files\Common Files\System\lruicr.dll c:\windows\system32\lruicr.dll c:\program files\kwaesy.exe c:\windows\system32\VL2E220E\F001.exe Driver:: zyVuLAiC kojakxang zmlteekf cowtmnd NetSvc:: zyVuLAiC kojakxang zmlteekf cowtmnd Folder:: c:\windows\system32\12OTUC4R c:\windows\system32\1SMVG5OT c:\windows\system32\0E0WN1WY c:\windows\system32\CJLAUM8G c:\windows\system32\CB8BVDG5 c:\windows\system32\NQCPWOVF c:\windows\system32\MRTITNIF c:\windows\system32\M46U3DYL c:\windows\system32\MT4WP7IN c:\windows\system32\LWGBKTHW c:\windows\system32\L8TMUJX1 c:\windows\system32\LAXMPVUR c:\windows\system32\LAEFMUHR c:\windows\system32\KNFYUX7N c:\windows\system32\KCZ7E41H c:\windows\system32\KOZRM8SD c:\windows\system32\KO3RGKP2 c:\windows\system32\KEEM31YF c:\windows\system32\JFVF00LE c:\windows\system32\JRWX84CB c:\windows\system32\JGG7SC43 c:\windows\system32\JGK7NN2T c:\windows\system32\I44H6VWM c:\windows\system32\IH50EYMJ c:\windows\system32\IIMTBX8I c:\windows\system32\IIQT5A67 c:\windows\system32\H6B2PH01 c:\windows\system32\HJBMXKQX c:\windows\system32\H7VVHSKQ c:\windows\system32\H8DOER6Q c:\windows\system32\HXWXXY0J c:\windows\system32\GM7TKGAV c:\windows\system32\GNOLHFXU c:\windows\system32\GPJ6G1A3 c:\windows\system32\GPZZDZW3 c:\windows\system32\FF12T6DV c:\windows\system32\FGIUP5ZV c:\windows\system32\FSJEX8QR c:\windows\system32\EHGGJ3AU c:\windows\system32\EKVUA06S c:\windows\system32\DXD6E2KO c:\windows\system32\7W8U6ODF c:\windows\system32\UZIZCPB3 c:\windows\system32\PKJJXM1O c:\windows\system32\PZH1A8AM c:\windows\system32\NLJPRSCY c:\windows\system32\MDILJA3M c:\windows\system32\LP3J7254 c:\windows\system32\J8J1YVIQ c:\windows\system32\ICF7MR1O c:\windows\system32\HVBQ3WRO c:\windows\system32\AEH4BD05 c:\windows\system32\833ZIU1O c:\windows\system32\7BFROVOR c:\windows\system32\62FFYZFJ c:\windows\system32\5LBXG54J c:\windows\system32\5HGRDPEZ c:\windows\system32\4ZC8UV30 c:\windows\system32\3V4BPSN6 c:\windows\system32\2QWCKP5E c:\windows\system32\1TTJ7LPC c:\windows\system32\0OZYTKQP c:\windows\system32\Z6MO3FO5 c:\windows\system32\YS1DOG5Y c:\windows\system32\XD4A6VYI c:\windows\system32\W57CMWU1 c:\windows\system32\VEEORKTF c:\windows\system32\UBE3NQF4 c:\windows\system32\TLA2WNT0 c:\windows\system32\STT83YJM c:\windows\system32\RTAU6OZF c:\windows\system32\Q3JMI83K c:\windows\system32\P2NFKCU2 c:\windows\system32\NYGVABER c:\windows\system32\M4FUFOBL c:\windows\system32\LQRJ4FWO c:\windows\system32\KRBKE1IA c:\windows\system32\JOBZA73Y c:\windows\system32\D5Y5POPZ c:\windows\system32\AHM4XWKW c:\windows\system32\7YZU77JM c:\windows\system32\WBJXS2I6 c:\windows\system32\LJBUX28E c:\windows\system32\73FPEMPI c:\windows\system32\6SX6F6K6 c:\windows\system32\5TQZW5YC c:\windows\system32\554XVB6F c:\windows\system32\34CQRPVN c:\windows\system32\XPIBREBD c:\windows\system32\V4J1HPIW c:\windows\system32\OMYYNT4E c:\windows\system32\NF103VZX c:\windows\system32\MSMJLMCF c:\windows\system32\L40HKRKI c:\windows\system32\LGEFJWSL c:\windows\system32\K5GIY28E c:\windows\system32\KHUFX7HG c:\windows\system32\JVPK4XKL c:\windows\system32\JBAAGW2A c:\windows\system32\IMO7E1AD c:\windows\system32\IAMWOBLD c:\windows\system32\IOH0V0OI c:\windows\system32\HBFP5AZI c:\windows\system32\HNTN4F7K c:\windows\system32\G1ORB3BP c:\windows\system32\GOMGLDMP c:\windows\system32\TVGPZDFM Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8369:TCP"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaibSvc"=- "WaicSvc"=- "WaicSvc"=- "WaidSvc"=- "WaieSvc"=- "WaifSvc"=- "WaijSvc"=- "WaikSvc"=- "WailSvc"=- "WaimSvc"=- "WainSvc"=- "WaioSvc"=- "WaipSvc"=- "WaiqSvc"=- "WaiuSvc"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
есть:
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\fsqbv9.dll c:\windows\system32\oyzx4a.dll c:\windows\system32\yzm.dll c:\windows\system32\anyj78.dll c:\windows\lplsfq.vbs c:\windows\ibumwg.vbs c:\windows\bgbjly.vbs c:\windows\system32\drivers\vdg4njgy.sys c:\windows\system32\drivers\tcpz-x86d.sys c:\program files\Common Files\System\eow6rl.dll c:\windows\system32\eow6rl.dll c:\program files\Common Files\98.exe c:\program files\Common Files\System\wayi.dll c:\program files\Common Files\System\ra5os7.dll c:\program files\Common Files\System\dnty2d.dll c:\windows\system32\wayi.dll c:\windows\system32\ra5os7.dll c:\windows\system32\dnty2d.dll c:\program files\Common Files\System\runup.dll c:\program files\Common Files\System\uk1jdw.dll c:\program files\Common Files\System\oyzx4a.dll c:\program files\Common Files\System\yzm.dll c:\program files\Common Files\System\i6ebdj.dll c:\windows\system32\waioapsclib.dll c:\windows\system32\waioaprnlib.dll c:\windows\system32\wainapsclib.dll Driver:: TCPZ NetSvc:: Folder:: c:\windows\system32\QC60I5J6 c:\windows\system32\M4BQ6TS1 c:\windows\system32\K53Z0ABL c:\windows\system32\JWUNLR6W c:\windows\system32\HJUCFGBB c:\windows\system32\HJPK2HFH c:\windows\system32\GLIDKGTL c:\windows\system32\6RJT1UIU c:\windows\system32\U2YP267D c:\windows\system32\P5SKSLPD c:\windows\system32\JFCKG1BM c:\windows\system32\6RE1MBO3 c:\windows\system32\2HLRUMWE c:\windows\system32\ZDR0M76C c:\windows\system32\WVVRWUL1 c:\windows\system32\1EHU77QF c:\windows\system32\BAVNKR10 c:\windows\system32\4WPZNN5Q c:\windows\system32\8PLM3NU6 c:\windows\system32\6PBFAQ30 c:\windows\system32\0ANSMEFK c:\windows\system32\VT2JGZLF c:\windows\system32\WS4TAIQM Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "WaibSvc"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
отчет
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\windows\system32\runup.dll',''); DeleteFileMask('c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\', '*.vbs', true); DeleteFileMask('c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\', '*.jse', true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\AddRight.reg c:\windows\pmowrj.vbs c:\windows\gyfuoc.vbs c:\windows\hugipv.vbs c:\windows\bgbjly.vbs c:\windows\nhnkzu.vbs c:\windows\mjnkzu.vbs c:\windows\SetWindowsIndex.reg c:\windows\lplafm.vbs c:\windows\zalsfq.vbs c:\windows\vfvhkt.vbs c:\windows\omowrj.vbs c:\windows\kokadm.vbs c:\windows\rxecba.vbs c:\windows\drstuz.vbs c:\windows\searyl.vbs c:\windows\tctbmd.vbs c:\windows\elwxvp.vbs c:\windows\kijpsn.vbs c:\windows\bfvhkt.vbs c:\windows\xsxfhe.vbs c:\windows\omoqrh.vbs c:\windows\iniqeh.vbs c:\windows\gzecba.vbs c:\windows\wlwxvp.vbs c:\windows\huhoab.vbs c:\windows\wkqzco.vbs c:\windows\csxfhe.vbs c:\windows\lpkadm.vbs c:\windows\tcrvns.vbs c:\windows\.reg c:\windows\search.reg c:\windows\jihosb.vbs c:\windows\system32\uk1jdw.dll c:\windows\system32\i6ebdj.dll c:\windows\zplsfq.vbs c:\windows\zazdgw.vbs c:\windows\xazdgw.vbs c:\windows\vdcgjr.vbs c:\windows\uvynqf.vbs c:\windows\ubumwg.vbs c:\windows\rxrvns.vbs c:\windows\kojpsn.vbs c:\windows\juhoab.vbs c:\windows\inumwg.vbs c:\windows\huhiav.vbs c:\windows\gygipv.vbs c:\windows\frdyix.vbs c:\windows\cdxfhe.vbs c:\windows\awaryl.vbs c:\windows\aqpetk.vbs Driver:: NetSvc:: Folder:: Registry:: FileLook:: DirLook:: c:\windows\srchtast
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
лог
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: NetSvc:: Folder:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "olema"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
- Удалите ComboFix
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
лога combofix нет. другие внизу. времени повторно делать нет так как уже отдаю. логи авз:
чисто
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\ .jse - Trojan.VBS.Zapchast.an ( AVAST4: BV:Zapchast-I [Trj] )
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\ahiiqz.vbs - Trojan.VBS.StartPage.gl ( DrWEB: VBS.DownLoader.44, BitDefender: Trojan.KillAV.TD, NOD32: VBS/KillAV.Y trojan, AVAST4: VBS:Agent-IU [Trj] )
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\einnls.vbs - Trojan.VBS.StartPage.gl ( DrWEB: VBS.DownLoader.44, BitDefender: Trojan.KillAV.TD, NOD32: VBS/KillAV.Y trojan, AVAST4: VBS:Agent-IU [Trj] )
- c:\\program files\\common files\\system\\sdb.exe - Trojan-Downloader.MSIL.Agent.wb ( DrWEB: Trojan.DownLoad2.18336, BitDefender: Trojan.Generic.5118012, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\program files\\internet explorer\\miaoshaxp.exe - Backdoor.Win32.DarkShell.li ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.KDV.102208, NOD32: Win32/Farfli.AY trojan, AVAST4: Win32:Malware-gen )
- c:\\program files\\qicqae.exe - Trojan.Win32.Scar.dgkb ( DrWEB: BackDoor.Ddoser.128, BitDefender: Trojan.Generic.KDV.100600, AVAST4: Win32:ServStart-C [Trj] )
- c:\\program files\\yqeaii.exe - Trojan.Win32.Scar.dgkb ( DrWEB: BackDoor.Ddoser.128, BitDefender: Trojan.Generic.KDV.100600, AVAST4: Win32:ServStart-C [Trj] )
- c:\\windows\\ali.exe - Trojan.Win32.Genome.sqfv ( DrWEB: Trojan.DownLoad2.20188, BitDefender: Gen:Trojan.Heur.PT.bmIfb0XWyoo, NOD32: Win32/TrojanDownloader.VB.OYK trojan, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\windows\\system32\\bontos.exe - Trojan.Win32.Scar.dgxa ( DrWEB: BackDoor.Siggen.27479, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\eevqaq6o\\c19.exe - Trojan.Win32.Scar.dhtk ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AJ trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\fzcs.exe - Backdoor.Win32.Krafcot.agz ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Peed.Gen, NOD32: Win32/Agent.QNC trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\iekywc.exe - Trojan.Win32.Scar.djvl ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Worm.Generic.379250, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\i5vznibl\\g002.exe - Trojan.Win32.Scar.dhlc ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Trojan.Generic.5593787, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\kr07gaqk\\e001.exe - Backdoor.Win32.Krafcot.aht ( DrWEB: Trojan.DownLoad.50456, BitDefender: GenPack:Trojan.Agent.ARZA, NOD32: Win32/Agent.OSH trojan, AVAST4: Win32:Crypt-JFY [Trj] )
- c:\\windows\\system32\\miaoshaxp.exe - Backdoor.Win32.DarkShell.li ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.KDV.102208, NOD32: Win32/Farfli.AY trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\mmgkme.exe - Trojan.Win32.Scar.dhkw ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\mqucqg.exe - Trojan.Win32.Scar.dhtj ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Worm.Generic.326048, NOD32: Win32/ServStart.AA trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\ookyou.exe - Trojan.Win32.Scar.dhtm ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\pilviq.exe - Trojan.Win32.Scar.dihl ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\serivces.exe - Worm.Win32.AutoRun.btzw ( DrWEB: BackDoor.IRC.Sdbot.15548, BitDefender: Trojan.Generic.5630695, AVAST4: Win32:AutoRun-CTL [Trj] )
- c:\\windows\\system32\\t\\e001.exe - Trojan.Win32.Scar.dhgq ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\t\\e003.exe - Trojan.Win32.Scar.dhcr ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Trojan.Agent.ARGJ, NOD32: Win32/ServStart.AH trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\t\\f001.exe - Trojan.Win32.Scar.dhga ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\t\\g001.exe - Trojan.Win32.Scar.dhgf ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Trojan.Generic.5346679, NOD32: Win32/ServStart.AA trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\t\\g002.exe - Trojan.Win32.Scar.dgwo ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\t0a5p8hq\\z001.exe - Backdoor.Win32.Krafcot.agv ( DrWEB: Trojan.DownLoader1.37461, BitDefender: Trojan.Generic.5579247, NOD32: Win32/Agent.OSH trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\vl2e220e\\f001.exe - Trojan.Win32.Scar.dico ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AK trojan, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\waieaprnlib.dll - Net-Worm.Win32.Kolab.pdm ( DrWEB: Trojan.MulDrop1.62457, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-NP [Trj] )
- c:\\windows\\system32\\waiuaprnlib.dll - Net-Worm.Win32.Kolab.sgr ( DrWEB: Trojan.MulDrop1.62578, BitDefender: Gen:Variant.TDss.35, NOD32: Win32/TrojanDownloader.Persetco.C trojan, AVAST4: Win32:Alureon-QI [Trj] )
- c:\\windows\\system32\\wdebmkc3\\f001.exe - Trojan.Win32.Scar.dikm ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Trojan.Generic.5360542, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\system32\\winhewelp32.exe - Packed.Win32.Katusha.e ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.6899700, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\winh11.exe - Backdoor.Win32.Yoddos.cl ( DrWEB: BackDoor.Darkshell.246, NOD32: Win32/Agent.OKE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\winh12.exe - Backdoor.Win32.Yoddos.cm ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.5653081, NOD32: Win32/Agent.OKE trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\0b4ekbe0\\b99.exe - Trojan.Win32.Scar.dhla ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )
- c:\\windows\\20110116\\vmh88288fpgfsxdh\\smss.exe - Trojan-Clicker.Win32.VB.ggh ( DrWEB: Trojan.Click1.28270, BitDefender: Trojan.Generic.KDV.109837, AVAST4: Win32:Dropper-EFZ [Drp] )
- g:\\autorun.inf - Worm.Win32.AutoRun.hmw ( DrWEB: Trojan.Autorun.14, BitDefender: Trojan.AutorunINF.Gen, NOD32: Win32/AutoRun.IRCBot.FC worm )
- g:\\recycler\\s-1-5-21-2214276341-3544434524-6043330-4321\\update.exe - Worm.Win32.AutoRun.btzw ( DrWEB: BackDoor.IRC.Sdbot.15548, BitDefender: Trojan.Generic.5630695, AVAST4: Win32:AutoRun-CTL [Trj] )
Уважаемый(ая) mcroma, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.