Попал на трафик

[kkkk4444]

Я попал на трафик помогите залечить сам пытался что то сделать но ничего не получилось, при включении компа нод32 показывает постоянно вирусы tcpsr.sys и wigon.by а AVZ показывает вирус zamoxivel.sys

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Yoo11', 4);SetServiceStart('Winpk66', 4);SetServiceStart('Afp58', 4);QuarantineFile('C:\WINDOWS\system32\oobe\MSOOBE.EXE','');QuarantineFile('C:\PROGRA~1\Crawler\ctbr.dll','');QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');QuarantineFile('C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys','');QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');DeleteFile('C:\WINDOWS\system32\WinNt64.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Afp58.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpk66.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Yoo11.sys');DeleteFile('WinNt64.dll');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteService('Yoo11');DeleteService('Winpk66');DeleteService('Afp58');DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dllO20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll 

Повторите логи...посмотрим, что осталось.

[kkkk4444]

Вроде все сделал вот логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Pili]

kkkk4444: отключите восстановление системы! Очистите временные файлы, напр. с помощью утилиты ATF Cleaner

Выполните в AVZ скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetServiceStart('tcpsr', 4);SetServiceStart('Qbq63', 4);QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Qbq63.sys','');DeleteFile('C:\WINDOWS\System32\Drivers\Qbq63.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteService('tcpsr');DeleteService('Qbq63');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');end.

Файл quarantine2.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Повторите логи virusinfo_syscheck.zip и hijackthis

[kkkk4444]

Все сделал вот новые логи.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

Проблемы какие-то наблюдаются? В логах врагов не видать.

[akoK]

C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL - Adware.Mycentria.3

C:\PROGRA~1\MYCENT~1\InfoBar\MyCentriaInfoBar.dll - Adware.Mycentria.3

C:\WINDOWS\system32\WinNt64.dll - Trojan.DownLoader.63655

[kkkk4444]

Вчера нод32 нашел еще парочку хотя было все гуд.

c:\WINDOWS\TEMP\avz_1812_raw.tmp

c:\WINDOWS\system32\winNT32.dll

[akoK]

Наша песня хороша.....начинаем собирать логи с начала.

[kkkk4444]

Начинаем сначала ;) вот новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\System32\Drivers\Ddd85.sys','');DeleteFile('C:\WINDOWS\System32\Drivers\Ddd85.sys');BC_ImportDeletedList;BC_DeleteSvc('Ddd85');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему в форуме.

Повторите логи.

[ТроПа]

Карантин получил - он пустой, теперь ждём новый комплект логов.

[kkkk4444]

Вот новые логи :-)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[ТроПа]

Проблемы наблюдаются? Врагов в логах не видно.

[kkkk4444]

Пока тишина огромное спасибо :D