Решена Контакт

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Saccub, 21 июн 2011.

Статус темы:
Закрыта.
  1. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    С мои компьютером случилась беда:( Нашел новый, но тут кошмар :) Ну не важно. Главное Вк неробит:sorry:

    С Вашей страницы неоднократно рассылался спам, поэтому она была заблокирована.

    Страница будет разблокирована 23 июня 2011 в 20:15.

    Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      45,1 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      43,5 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      12,7 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      28,4 КБ
      Просмотров:
      4
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Смотрю логи скоро отвечу
     
  3. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Спасибо. Жду
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\systemup.exe');
     TerminateProcessByName('c:\windows\sysdriver32.exe');
     TerminateProcessByName('c:\windows\update.2\svchost.exe');
     TerminateProcessByName('c:\windows\update.1\svchost.exe');
     TerminateProcessByName('c:\program files\lovivkontakte\lovivkontakte.exe');
     TerminateProcessByName('C:\Program Files\LoviVkontakte\VkontakteService.exe');
     TerminateProcessByName('c:\windows\l1rezerv.exe');
     SetServiceStart('wxpdrivers', 4);
     SetServiceStart('srvsysdriver32', 4);
     SetServiceStart('srviecheck', 4);
     StopService('wxpdrivers');
     StopService('srvsysdriver32');
     StopService('srviecheck');
     QuarantineFile('services32.exe','');
     QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\9712451.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\9307494.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\9080771.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\8959818.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\8889735.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\8721374.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\8332326.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\828532.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\798292.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7824809.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7485788.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7444206.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7397552.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7155372.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\7130457.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\6391357.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\6236797.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\6213870.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\6022414.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\5462463.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\535976.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\5321535.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\4702455.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\4442841.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\4345523.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\4306107.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\404177.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\399604.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\3887069.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\3276485.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\2503555.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\248346.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\2418780.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1998799.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1541994.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1372262.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1084748.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1026352.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\9925480.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\9612559.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\9600118.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\9566420.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\9283050.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\873496.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\7964902.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\7894.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\775646.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\6299825.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\5199591.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\1680487.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\1661138.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\1045645.exe','');
     QuarantineFile('c:\windows\systemup.exe','');
     QuarantineFile('c:\windows\sysdriver32.exe','');
     QuarantineFile('c:\windows\update.2\svchost.exe','');
     QuarantineFile('c:\windows\update.1\svchost.exe','');
     QuarantineFile('c:\program files\lovivkontakte\lovivkontakte.exe','');
     QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe','');
     QuarantineFile('c:\windows\l1rezerv.exe','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\nsgdpj.exe',' ');
     QuarantineFile('C:\WINDOWS\loader2.exe_ok',' ');    
     DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
     DeleteFile('C:\WINDOWS\ddh_iplist.txt');
     DeleteFile('C:\WINDOWS\iplist.txt');
     DeleteFile('C:\WINDOWS\front_ip_list.txt');
     DeleteFile('C:\Documents and Settings\User\Application Data\nsgdpj.exe');
     DeleteFile('C:\WINDOWS\loader2.exe_ok');
     DeleteFile('C:\WINDOWS\update.2\svchost.exe');
     DeleteFile('C:\WINDOWS\sysdriver32.exe');
     DeleteFile('C:\WINDOWS\update.1\svchost.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\1045645.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\1661138.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\1680487.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\5199591.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\6299825.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\775646.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\7894.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\7964902.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\873496.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\9283050.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\9566420.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\9600118.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\9612559.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\9925480.exe');
     DeleteFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe');
     DeleteFile('C:\Program Files\LoviVkontakte\VkontakteService.exe');
     DeleteFile('C:\WINDOWS\TEMP\1026352.exe');
     DeleteFile('C:\WINDOWS\TEMP\1084748.exe');
     DeleteFile('C:\WINDOWS\TEMP\1372262.exe');
     DeleteFile('C:\WINDOWS\TEMP\1541994.exe');
     DeleteFile('C:\WINDOWS\TEMP\1998799.exe');
     DeleteFile('C:\WINDOWS\TEMP\2418780.exe');
     DeleteFile('C:\WINDOWS\TEMP\248346.exe');
     DeleteFile('C:\WINDOWS\TEMP\2503555.exe');
     DeleteFile('C:\WINDOWS\TEMP\3276485.exe');
     DeleteFile('C:\WINDOWS\TEMP\3887069.exe');
     DeleteFile('C:\WINDOWS\TEMP\399604.exe');
     DeleteFile('C:\WINDOWS\TEMP\404177.exe');
     DeleteFile('C:\WINDOWS\TEMP\4306107.exe');
     DeleteFile('C:\WINDOWS\TEMP\4345523.exe');
     DeleteFile('C:\WINDOWS\TEMP\4442841.exe');
     DeleteFile('C:\WINDOWS\TEMP\4702455.exe');
     DeleteFile('C:\WINDOWS\TEMP\5321535.exe');
     DeleteFile('C:\WINDOWS\TEMP\535976.exe');
     DeleteFile('C:\WINDOWS\TEMP\5462463.exe');
     DeleteFile('C:\WINDOWS\TEMP\6022414.exe');
     DeleteFile('C:\WINDOWS\TEMP\6213870.exe');
     DeleteFile('C:\WINDOWS\TEMP\6236797.exe');
     DeleteFile('C:\WINDOWS\TEMP\6391357.exe');
     DeleteFile('C:\WINDOWS\TEMP\7130457.exe');
     DeleteFile('C:\WINDOWS\TEMP\7155372.exe');
     DeleteFile('C:\WINDOWS\TEMP\7397552.exe');
     DeleteFile('C:\WINDOWS\TEMP\7444206.exe');
     DeleteFile('C:\WINDOWS\TEMP\7485788.exe');
     DeleteFile('C:\WINDOWS\TEMP\7824809.exe');
     DeleteFile('C:\WINDOWS\TEMP\798292.exe');
     DeleteFile('C:\WINDOWS\TEMP\828532.exe');
     DeleteFile('C:\WINDOWS\TEMP\8332326.exe');
     DeleteFile('C:\WINDOWS\TEMP\8721374.exe');
     DeleteFile('C:\WINDOWS\TEMP\8889735.exe');
     DeleteFile('C:\WINDOWS\TEMP\8959818.exe');
     DeleteFile('C:\WINDOWS\TEMP\9080771.exe');
     DeleteFile('C:\WINDOWS\TEMP\9307494.exe');
     DeleteFile('C:\WINDOWS\TEMP\9712451.exe');
     DeleteFile('C:\WINDOWS\l1rezerv.exe');
     DeleteFile('C:\WINDOWS\sysdriver32_.exe');
     DeleteFile('C:\WINDOWS\systemup.exe');
     DeleteFile('services32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1045645.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1661138.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1680487.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5199591.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6299825.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','775646.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7894.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7964902.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','873496.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9283050.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9566420.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9600118.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9612559.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9925480.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','LoviVkontakte');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1026352.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1084748.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1372262.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1541994.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1998799.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2418780.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','248346.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2503555.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3276485.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3887069.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','399604.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','404177.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4306107.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4345523.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4442841.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4702455.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5321535.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','535976.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5462463.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6022414.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6213870.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6236797.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6391357.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7130457.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7155372.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7397552.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7444206.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7485788.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7824809.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','798292.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','828532.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8332326.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8721374.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8889735.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8959818.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9080771.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9307494.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9712451.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
     DeleteService('wxpdrivers');
     DeleteService('srvsysdriver32');
     DeleteService('srviecheck');
     DeleteService('LoviVkontakteService');
     DeleteFileMask('C:\WINDOWS\update.2', '*.*', true);
     DeleteFileMask('C:\WINDOWS\update.1', '*.*', true);
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask('C:\DOCUME~1\User\LOCALS~1\Temp\', '*.*', true);
     DeleteFileMask('C:\Program Files\LoviVkontakte\', '*.*', true);
     DeleteDirectory('C:\Program Files\LoviVkontakte\');
     DeleteDirectory('C:\WINDOWS\update.2');
     DeleteDirectory('C:\WINDOWS\update.1');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('srviecheck');
     BC_DeleteSvc('srvsysdriver32');
     BC_DeleteSvc('wxpdrivers');
    BC_Activate;
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Код (Text):
    Внимание !!! База AVZ поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Пофиксите в HJT:

    Код (Text):
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [399604.exe] "C:\WINDOWS\TEMP\399604.exe"
    O4 - HKLM\..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv
    O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv
    O4 - HKLM\..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe"
    O4 - HKLM\..\Run: [LoviVkontakte] C:\Program Files\LoviVkontakte\lovivkontakte.exe
    O4 - HKLM\..\Run: [8959818.exe] "C:\WINDOWS\TEMP\8959818.exe"
    O4 - HKLM\..\Run: [7444206.exe] "C:\WINDOWS\TEMP\7444206.exe"
    O4 - HKLM\..\Run: [3276485.exe] "C:\WINDOWS\TEMP\3276485.exe"
    O4 - HKLM\..\Run: [4306107.exe] "C:\WINDOWS\TEMP\4306107.exe"
    O4 - HKLM\..\Run: [5321535.exe] "C:\WINDOWS\TEMP\5321535.exe"
    O4 - HKLM\..\Run: [4702455.exe] "C:\WINDOWS\TEMP\4702455.exe"
    O4 - HKLM\..\Run: [systemup] "C:\WINDOWS\systemup.exe" stand
    O4 - HKLM\..\Run: [248346.exe] "C:\WINDOWS\TEMP\248346.exe"
    O4 - HKLM\..\Run: [1372262.exe] "C:\WINDOWS\TEMP\1372262.exe"
    O4 - HKLM\..\Run: [7155372.exe] "C:\WINDOWS\TEMP\7155372.exe"
    O4 - HKLM\..\Run: [6236797.exe] "C:\WINDOWS\TEMP\6236797.exe"
    O4 - HKLM\..\Run: [6391357.exe] "C:\WINDOWS\TEMP\6391357.exe"
    O4 - HKLM\..\Run: [7130457.exe] "C:\WINDOWS\TEMP\7130457.exe"
    O4 - HKLM\..\Run: [1998799.exe] "C:\WINDOWS\TEMP\1998799.exe"
    O4 - HKLM\..\Run: [4345523.exe] "C:\WINDOWS\TEMP\4345523.exe"
    O4 - HKLM\..\Run: [404177.exe] "C:\WINDOWS\TEMP\404177.exe"
    O4 - HKLM\..\Run: [7397552.exe] "C:\WINDOWS\TEMP\7397552.exe"
    O4 - HKLM\..\Run: [5462463.exe] "C:\WINDOWS\TEMP\5462463.exe"
    O4 - HKLM\..\Run: [8721374.exe] "C:\WINDOWS\TEMP\8721374.exe"
    O4 - HKLM\..\Run: [828532.exe] "C:\WINDOWS\TEMP\828532.exe"
    O4 - HKLM\..\Run: [wxpdrv] C:\WINDOWS\update.1\svchost.exe
    O4 - HKLM\..\Run: [3887069.exe] "C:\WINDOWS\TEMP\3887069.exe"
    O4 - HKLM\..\Run: [6022414.exe] "C:\WINDOWS\TEMP\6022414.exe"
    O4 - HKLM\..\Run: [775646.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\775646.exe"
    O4 - HKLM\..\Run: [798292.exe] "C:\WINDOWS\TEMP\798292.exe"
    O4 - HKLM\..\Run: [1661138.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\1661138.exe"
    O4 - HKLM\..\Run: [8332326.exe] "C:\WINDOWS\TEMP\8332326.exe"
    O4 - HKLM\..\Run: [6299825.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\6299825.exe"
    O4 - HKLM\..\Run: [2418780.exe] "C:\WINDOWS\TEMP\2418780.exe"
    O4 - HKLM\..\Run: [6213870.exe] "C:\WINDOWS\TEMP\6213870.exe"
    O4 - HKLM\..\Run: [8889735.exe] "C:\WINDOWS\TEMP\8889735.exe"
    O4 - HKLM\..\Run: [9600118.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\9600118.exe"
    O4 - HKLM\..\Run: [5199591.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\5199591.exe"
    O4 - HKLM\..\Run: [1026352.exe] "C:\WINDOWS\TEMP\1026352.exe"
    O4 - HKLM\..\Run: [9712451.exe] "C:\WINDOWS\TEMP\9712451.exe"
    O4 - HKLM\..\Run: [1045645.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\1045645.exe"
    O4 - HKLM\..\Run: [9307494.exe] "C:\WINDOWS\TEMP\9307494.exe"
    O4 - HKLM\..\Run: [9566420.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\9566420.exe"
    O4 - HKLM\..\Run: [2503555.exe] "C:\WINDOWS\TEMP\2503555.exe"
    O4 - HKLM\..\Run: [7894.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\7894.exe"
    O4 - HKLM\..\Run: [9925480.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\9925480.exe"
    O4 - HKLM\..\Run: [7824809.exe] "C:\WINDOWS\TEMP\7824809.exe"
    O4 - HKLM\..\Run: [4442841.exe] "C:\WINDOWS\TEMP\4442841.exe"
    O4 - HKLM\..\Run: [873496.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\873496.exe"
    O4 - HKLM\..\Run: [1084748.exe] "C:\WINDOWS\TEMP\1084748.exe"
    O4 - HKLM\..\Run: [9283050.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\9283050.exe"
    O4 - HKLM\..\Run: [9612559.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\9612559.exe"
    O4 - HKLM\..\Run: [535976.exe] "C:\WINDOWS\TEMP\535976.exe"
    O4 - HKLM\..\Run: [1680487.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\1680487.exe"
    O4 - HKLM\..\Run: [9080771.exe] "C:\WINDOWS\TEMP\9080771.exe"
    O4 - HKLM\..\Run: [1541994.exe] "C:\WINDOWS\TEMP\1541994.exe"
    O4 - HKLM\..\Run: [7964902.exe] "C:\DOCUME~1\User\LOCALS~1\Temp\7964902.exe"
    O4 - HKLM\..\Run: [7485788.exe] "C:\WINDOWS\TEMP\7485788.exe"
    Повторите логи AVZ и RSIT
     
  5. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Так. Выполнил скрипт а АВЗ.
    Скинул полученный архив на мыло.
    Фиксанул в HiJackThis.
     
    Последнее редактирование модератором: 21 июн 2011
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Вот этого не выполнили:

     
  7. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Не догнал малость. Можно подробней?
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Еще раз выполните правила в частоности
    1 и 3 пункт раздела диагностика, лог RSIT и 2 ой лог AVZ, ссылку же указал :)

    Добавлено через 22 секунды
    Не забудьте обновить базы АВЗ

    Добавлено через 7 минут 41 секунду
    Такой зверинец долго лечить будем на данный момент поймали:
    Trojan-PSW.Win32.VKont.bjc
    Trojan.Win32.Scar.eajx
    Trojan.Win32.VBKrypt.cnbt
    Trojan.Win32.Scar.dzbi
    Trojan.Win32.VkHost.dvs
    HEUR:Trojan.Win32.Generic
    Trojan.Win32.Agent2.dnsh
     
  9. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    :)
     

    Вложения:

    • log.txt
      Размер файла:
      16,2 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      19,8 КБ
      Просмотров:
      1
  10. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Тут даже антивирусника нету ><
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
  12. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Я не могу выбрать=\

    Посоветуете? :)
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    А еще немедленно обновляйте Windows, а то зараза от Вас не отстанет:

    - скачайте и установите Servce Pack 3 (может потребоваться повторная активация)
    - установите Internet Explorer 8.0 (даже если им не пользуетесь) и все последние обновления для него.

    Avast, Avira, AVG - какое название больше нравится тот и качайте, лучше любой антивирус чем никакого.


    PS. Обновляйтесь потом будет продолжение лечения.
     
    1 человеку нравится это.
  14. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Хорошо, спасибо. За сегодня скачаю и обновлюсь.
    Завтра глянем и продолжим :)
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Ок, будем ждать.

    После обновления подготовьте новый комплект логов, вдруг еще чего пока Вы без защиты приползет :mda:
     
  16. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Готово:)
    IE.
    SP3.
    Антивирусник.
    Логи:
     

    Вложения:

  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Смотрю, скоро отвечу

    Добавлено через 21 минуту 47 секунд
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\services32.exe','');
     DeleteFile('C:\WINDOWS\services32.exe');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
     RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Documents and Settings\User\Мои документы\Downloads\Flash-Player.exe');
     RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\WINDOWS\update.1\svchost.exe');
     RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\WINDOWS\update.2\svchost.exe');
     RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\WINDOWS\update.2\1893.exe');
     RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\WINDOWS\TEMP\6562673.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи AVZ (только скрипт №2) и RSIT.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  18. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    Что за бред.

    Пардон,вчера инет критовал. 321 ошибку писал браузер. Сейчас пытаюсь скачать сей прогу, но скорость 17 кб/с О_о
    ..Страшно

    Сейчас пойду у друзей на флешочку скину.

    Добавлено через 6 минут 43 секунды
    А во, скачал нормально :facepalm:
    Обновлю и выложу лог.
     
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Код (Text):
    MSIE: Internet Explorer v7.00 (7.00.6000.20696)
    Вот этого:

    - не выполнили

    Возможно фолс у Антивируса
     
    Последнее редактирование: 23 июн 2011
  20. Saccub
    Оффлайн

    Saccub Активный пользователь

    Сообщения:
    16
    Симпатии:
    0
    IE Скачал и обновил=\

    Скоро логи будут.
     
Статус темы:
Закрыта.

Поделиться этой страницей