daemonarch Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 (изменено) Ситуация точь в точь с этой Так же вначале запустился ие, открылась страничку с иероглифами, затем все начало дико тормозить, появилась пара десятков новых процессов, тут же проснулся касперский, нашел кучу вирусни, начал лечить/удалять. Дополнительно прогнал в безопасном режиме + проверил cure it. В итоге сейчас при старте системы видно 3-4 левых процесса типа j002.exe, j003.exe. При подключении к интернету касперский ругается на трояны, хидден инсталлы, руткиты, invader'ы, пишет, что необходима спец. процедура лечения с перезагрузкой, а после перезагрузки все начинается сначала. Помогите, плиз. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 24 сентября, 2009 пользователем ТроПа
snifer67 Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 (изменено) выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\vbikq45jvm\j003.exe'); TerminateProcessByName('c:\windows\system32\i\j002.exe'); StopService('fsaa'); StopService('bfy'); DeleteService('OSEvent'); DeleteService('fsaa'); DeleteService('bfy'); StopService('bfy'); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[2].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[1].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[2].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[1].exe',''); QuarantineFile('c:\windows\system32\sysDll.exe',''); QuarantineFile('C:\WINDOWS\system32\QGGTMFRB58\H001.exe',''); QuarantineFile('C:\WINDOWS\system32\MOLMC8MULR\H001.exe',''); QuarantineFile('C:\WINDOWS\system32\EOUPKV87SK\H001.exe',''); QuarantineFile('C:\WINDOWS\system32\U54VJW32NM\P001.exe',''); QuarantineFile('C:\WINDOWS\system32\windswe.exe',''); QuarantineFile('C:\WINDOWS\system32\s.exe',''); QuarantineFile('C:\WINDOWS\system32\ac9a.exe',''); QuarantineFile('c:\windows\system32\blbrunsrv.dll',''); QuarantineFile('C:\WINDOWS\System32\blblogsrv.dll',''); QuarantineFile('c:\windows\system32\vbikq45jvm\j003.exe',''); QuarantineFile('c:\windows\system32\i\j002.exe',''); DeleteFile('c:\windows\system32\sysDll.exe'); DeleteFile('c:\windows\system32\i\j002.exe'); DeleteFile('c:\windows\system32\vbikq45jvm\j003.exe'); DeleteFile('C:\WINDOWS\System32\blblogsrv.dll'); DeleteFile('c:\windows\system32\blbrunsrv.dll'); DeleteFile('C:\Documents and Settings\111\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\WINDOWS\system32\U54VJW32NM\P001.exe'); DeleteFile('C:\WINDOWS\system32\EOUPKV87SK\H001.exe'); DeleteFile('C:\WINDOWS\system32\MOLMC8MULR\H001.exe'); DeleteFile('C:\WINDOWS\system32\QGGTMFRB58\H001.exe'); DeleteFile('C:\WINDOWS\system32\s.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[2].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[2].exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFileMask('c:\windows\system32\i', '*.*', true); DeleteDirectory('c:\windows\system32\i'); DeleteFileMask('c:\windows\system32\vbikq45jvm', '*.*', true); DeleteDirectory('c:\windows\system32\vbikq45jvm'); DeleteFileMask(':\WINDOWS\system32\QGGTMFRB58', '*.*', true); DeleteDirectory(':\WINDOWS\system32\QGGTMFRB58'); DeleteFileMask('C:\WINDOWS\system32\EOUPKV87SK', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\EOUPKV87SK'); DeleteFileMask('C:\WINDOWS\system32\MOLMC8MULR', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\MOLMC8MULR'); DeleteFileMask('C:\WINDOWS\system32\QGGTMFRB58', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\QGGTMFRB58'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Знакомы днс ? 213.179.249.133 213.179.249.134 Сделайте новые логи. Изменено 23 сентября, 2009 пользователем snifer67 1
daemonarch Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 Спасибо! Выполнил скрипт + касперский вроде как чего-то вылечил. В итоге осталось 2 процесса: kdfadia.exe и cmd.exe. Последний грузит процесор на 30-50%. Больше видимых пакостей не происходит. ДНС-ы провайдерские вроде (укртелеком) Новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
snifer67 Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 (изменено) Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\kdfadia.exe'); DeleteService('sdsdfesje'); DeleteService('n hj'); QuarantineFile('C:\WINDOWS\system32\sysDll.exe',''); QuarantineFile('C:\WINDOWS\Fonts\50750243.DLL',''); QuarantineFile('c:\windows\system32\kdfadia.exe',''); DeleteFile('C:\WINDOWS\nhg.exe'); DeleteFile('c:\windows\system32\kdfadia.exe DeleteFile('C:\WINDOWS\system32\sysDll.dll'); DeleteFile('C:\WINDOWS\system32\sysDll.exe'); DeleteFile('C:\WINDOWS\system32\windswe.exe'); BC_DeleteFile('C:\WINDOWS\system32\sysDll.exe'); BC_DeleteFile('C:\WINDOWS\system32\sysDll.dll'); BC_DeleteFile('C:\WINDOWS\system32\kdfadia.exe'); DeleteFile('C:\Documents and Settings\111\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\WINDOWS\Fonts\50750243.DLL'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Изменено 23 сентября, 2009 пользователем snifer67
daemonarch Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 Огромное спасибо! Все нехорошее погибло, тишина и спокойствие... Но все равно как-то ссыкотно... Еще логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
snifer67 Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 (изменено) Зверьки не хотят уходить по хорошему . Скачайте http://ifolder.ru/6493654 Запустите, перейдите на вкладку File- Найдите эти файлы C:\WINDOWS\system32\windswe.exe , c:\windows\system32\sysDll.exe,C:\WINDOWS\nhg.exe -Найдите эти файлы- Правой кнопкой мыши - force delete. +Контрольные логи avz. Изменено 23 сентября, 2009 пользователем snifer67
daemonarch Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 Сейчас скачаю. А насчет ссыкотно - не зря было svchost.exe разошлся и начал грузить процессор на 90% в итоге вообще подвисло все. Спасибо windswe.exe удалил вторых двух итак не было. Логи: virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('windswe'); DeleteService('n hj'); DeleteFile('C:\WINDOWS\nhg.exe'); DeleteFile('C:\WINDOWS\system32\windswe.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('windswe'); BC_DeleteSvc('n hj'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Сделайте новые логи
daemonarch Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 Спасибо. Выполнил. Новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip
daemonarch Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 (изменено) Логи чисты. Ну, стало быть, мучас грациас всем Щас пойду сервис паки с заплатками ставить, и прочие рекомендации по возможности... Всего вам доброго, еще раз спасибо. Если вдруг зверушки вернутся, я тут попишу еще Изменено 23 сентября, 2009 пользователем daemonarch
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти