Надоел этот вирус, касперский не лечит, и еще xdx.exe на диске C.
И наверное еще несколько вирусов..
Надоел этот вирус, касперский не лечит, и еще xdx.exe на диске C.
И наверное еще несколько вирусов..
Последний раз редактировалось xlop; 11.03.2011 в 20:07.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\ggdrive32.exe'); TerminateProcessByName('c:\documents and settings\admin\betd.exe'); TerminateProcessByName('c:\documents and settings\admin\96.exe'); ClearQuarantine; QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('c:\documents and settings\admin\betd.exe',''); QuarantineFile('c:\documents and settings\admin\96.exe',''); DeleteFile('c:\documents and settings\admin\96.exe'); DeleteFile('c:\documents and settings\admin\betd.exe'); DeleteFile('c:\windows\ggdrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); WhatService('tosowgf'); WhatService('xtmnth'); WhatService('xwiccsapc'); SaveLog(GetAVZDirectory+'whatsvc.log'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Из папки AVZ файл whatsvc.log приложите в теме.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
все сделал.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
это я выложил, он видимо заменился вместо старого.
Надо было в новом сообщении прикрепить. Ну да ладно.
Делайте в указанной последовательности:
Обновите Internet Explorer до актуальной версии (даже если не используете).
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\xdx.exe',''); QuarantineFile('C:\WINDOWS\system32\53.exe',''); QuarantineFile('C:\WINDOWS\system32\11.exe',''); DeleteFile('C:\WINDOWS\system32\11.exe'); DeleteFile('C:\WINDOWS\system32\53.exe'); DeleteFile('C:\xdx.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вроде все сделал, обновления установил, после перезагрузки еще раз выполнил скрипт , написал что уязвимостей нет.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\ggdrive32.exe'); TerminateProcessByName('c:\documents and settings\admin\betd.exe'); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\clipsrv.exe',''); QuarantineFile('C:\WINDOWS\system32\ctpcmcia.dll',''); QuarantineFile('C:\Program Files\winrar\rarext.dll',''); DeleteFile('c:\documents and settings\admin\betd.exe'); DeleteFile('c:\windows\ggdrive32.exe'); DeleteFile('C:\Documents and Settings\Admin\betd.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); DeleteFile('C:\WINDOWS\ggdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\04.exe'); DeleteFile('C:\WINDOWS\system32\07.exe'); DeleteFile('C:\WINDOWS\system32\13.exe'); DeleteFile('C:\WINDOWS\system32\26.exe'); DeleteFile('C:\WINDOWS\system32\34.exe'); DeleteFile('C:\WINDOWS\system32\35.exe'); DeleteFile('C:\WINDOWS\system32\63.exe'); DeleteFile('C:\WINDOWS\system32\64.exe'); DeleteFile('C:\WINDOWS\system32\77.exe'); DeleteFile('C:\xdx.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
все сделал.
Удалите в MBAM:
После удаления отпишитесь - что с проблемой?Код:Заражённые папки: c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Заражённые файлы: c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\1Z7I9BZ9\xxudv[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[2].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[2].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\7[1].exe (Trojan.Downloader) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\tdvunlrn[1].bmp (Extension.Mismatch) -> No action taken. c:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
Повторите для конроля лог virusinfo_syscheck.zip и приложите в теме.
Последний раз редактировалось Nikkollo; 12.03.2011 в 02:43.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Ну вроде нет процесса ggdrive32 и на диске c нет файла xdx.
Чисто.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\betd.exe - Trojan.Win32.FakeAv.bhes ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Fakealert.28761, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
- c:\\documents and settings\\admin\\96.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.FakeAv.bheq ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Gen:Variant.Kazy.15167, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
- c:\\windows\\ggdrive32.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\system32\\11.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\windows\\system32\\53.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
- c:\\xdx.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, AVAST4: Win32:Downloader-NUE [Trj] )
Уважаемый(ая) xlop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.