Комп был проверен с аварийного диска KAV, убито около 2000 экземпляров 16 разновидностей всякой гадости.
После этого запустить AVZ и оказалось что там что-то ещё шевелится.
Комп был проверен с аварийного диска KAV, убито около 2000 экземпляров 16 разновидностей всякой гадости.
После этого запустить AVZ и оказалось что там что-то ещё шевелится.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\Recycled\userinit.exe',''); QuarantineFile('C:\WINNT\system32\ipv6mons.dll',''); QuarantineFile('C:\WINNT\D4gServEx.exe',''); QuarantineFile('C:\WINNT\system32\nwizasktao.exe',''); QuarantineFile('C:\WINNT\system32\intenat.exe',''); QuarantineFile('C:\WINNT\mppds.exe',''); QuarantineFile('C:\WINNT\cmdbcs.exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll',''); QuarantineFile('C:\WINNT\G_Server2007.DLL',''); QuarantineFile('c:\program files\alwil software\avast4\wmarcmmk.dll',''); QuarantineFile('c:\program files\alwil software\avast4\edoubjtw.dll',''); QuarantineFile('c:\program files\alwil software\avast4\hkxbpiry.dll',''); RebootWindows(true); end.
Пришлите содержимое карантина согласно приложению 3 правил.
Сделайте лог программы HijackThis (п.11-13 правил).
I am not young enough to know everything...
Вот тут.
Второй архив( virusinfo_cure.zip) через "загрузить файл" отправил
В присланном -
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll - инфицирован Trojan-PSW.Win32.QQPass.rj
C:\WINNT\G_Server2007.DLL - инфицирован Backdoor.Win32.Hupigon.emb
c:\program files\alwil software\avast4\wmarcmmk.dll - инфицирован Trojan-PSW.Win32.Agent.kv
c:\program files\alwil software\avast4\edoubjtw.dll - инфицирован Trojan-PSW.Win32.OnLineGames.pw
Похоже, пароли ущли на сторону. Нужно будет менять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Так... ещё одна пилюля им в копилку. Ой они у меня сегодня получат...
Короче проверил свежими базами KAV с аварийного диска - он их всех нашёл и убил. Интересно ещё что нибудь там осталось?
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\program files\alwil software\avast4\edoubjtw.dll'); DeleteFile('c:\program files\alwil software\avast4\wmarcmmk.dll'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll'); DeleteFile('C:\WINNT\system32\ipv6mons.dll'); DeleteFile('c:\Recycled\userinit.exe'); DeleteFile('C:\WINNT\D4gServEx.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
ВОт
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINNT\SYSTEM\MraSearch.dll (file missing) O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll (file missing) O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\SYSTEM32\nwprovau.dll',''); QuarantineFile('c:\program files\alwil software\avast4\hkxbpiry.dll',''); QuarantineFile('C:\WINNT\system32\nwizasktao.exe',''); QuarantineFile('C:\WINNT\system32\intenat.exe',''); QuarantineFile('C:\WINNT\mppds.exe',''); QuarantineFile('C:\WINNT\cmdbcs.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\alwil software\\avast4\\edoubjtw.dll - Trojan-GameThief.Win32.OnLineGames.pw (DrWEB: Trojan.PWS.Wsgame)
- c:\\program files\\alwil software\\avast4\\wmarcmmk.dll - Trojan-PSW.Win32.Rumrux.ad (DrWEB: Trojan.PWS.Gamania)
- c:\\program files\\common files\\microsoft shared\\msinfo\\syswfgqq2.dll - Trojan-PSW.Win32.QQPass.rj (DrWEB: Trojan.PWS.Qqpass.67
- c:\\winnt\\g_server2007.dll - Backdoor.Win32.Hupigon.emb (DrWEB: BackDoor.Pigeon.6372)
Уважаемый(ая) givi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.