Experience 0 Опубликовано 23 января, 2009 Share Опубликовано 23 января, 2009 (изменено) В папке C:\Documents and Settings\Admin появляются файлы: exxxplorer,exredr,exrxredr,sdsdsd все .ехе симптомы: отрубаетсоединение с интернетом и выдает ошибку обращения к памяти. avira нашла выше указаные файлы (кроме sdsdsd, avira не считает его вирусом) и еще один файл av[1].exe и говорит троян: drop.vb.imc.3 вроде удалил... но они появляются... в папке recycler avira нашла файлы DC7.exe, DC8.exe и новый троян spy.lybra.f.4 в папке систем32 neocentr.cpl выше указанные файлы которые создает троян drop каждый раз как они появляются avira ругается... я их удаляю но они все появляются и появляются... как быть? жду вашей помощи. зарание благодарен! так же drop был найден в файле avCAMC36VX.exe avCAH9J01Z.exe может он генерирует произвольные названия файлов? или это его исходные тела? простите за не грамотность речи... я не хакер)) virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log Изменено 25 января, 2009 пользователем wise-wistful Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 23 января, 2009 Share Опубликовано 23 января, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe',''); DeleteFile('C:\Temp\mc21.tmp'); DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe'); DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Ссылка на сообщение Поделиться на другие сайты
Falcon 109 Опубликовано 23 января, 2009 Share Опубликовано 23 января, 2009 (изменено) Пофиксить с помощью HJT: O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user') Изменено 23 января, 2009 пользователем Falcon Ссылка на сообщение Поделиться на другие сайты
Experience 0 Опубликовано 23 января, 2009 Автор Share Опубликовано 23 января, 2009 Вроде сделал все как вы написали... таких симптомов больше нет... СПАСИБО БОЛЬШОЕ! ниже логи после проделаных работ... все ли впорядке? virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log Ссылка на сообщение Поделиться на другие сайты
ТроПа 71 Опубликовано 23 января, 2009 Share Опубликовано 23 января, 2009 Отключите восстановление системы. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-24CX1C987132'); DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Ссылка на сообщение Поделиться на другие сайты
Experience 0 Опубликовано 24 января, 2009 Автор Share Опубликовано 24 января, 2009 Хм... Странно я вроде отключал восстановление системы… Сделал все как написали: hijackthis.log virusinfo_syscure.htm virusinfo_syscheck.htm Ссылка на сообщение Поделиться на другие сайты
ТроПа 71 Опубликовано 24 января, 2009 Share Опубликовано 24 января, 2009 (изменено) Извините не досмотрел что у CLSID есть маленькое различие, одну удалили и ещё одна осталась. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-34CX1C987132'); DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему. Повторите лог после стандартного скрипта 3. Изменено 26 января, 2009 пользователем wise-wistful Ссылка на сообщение Поделиться на другие сайты
Experience 0 Опубликовано 25 января, 2009 Автор Share Опубликовано 25 января, 2009 сделал, отправил. virusinfo_syscheck.htm virusinfo_syscure.htm Ссылка на сообщение Поделиться на другие сайты
Falcon 109 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe почил с миром... Ссылка на сообщение Поделиться на другие сайты
Experience 0 Опубликовано 25 января, 2009 Автор Share Опубликовано 25 января, 2009 Всем большое спасибо за проделанную работу! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти