лечение рабочего компа

[kibmastix]

сегодня при запуске рабочего компа NOD 32 выдал следующее: Оперативная память = c:\windows\system32\rpcss.dll Win32/Patched.IB троянская программа. выкладываю логи.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

выполните скрипт авз

beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[22].exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[23].exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[24].exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[25].exe','');QuarantineFile('C:\Documents and Settings\Юрий.SERVER\omt392a.exe','');DeleteFile('C:\WINDOWS\system32\csrcs.exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[22].exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[23].exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[24].exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[25].exe');DeleteFile('C:\Documents and Settings\Юрий.SERVER\omt392a.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end.

Компьютер перезагрузится

повторите логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

[kibmastix]

Выполнил скрипт - все равно вылетает предупреждение что память заражена.

MBAM-log-2013-05-27 (08-25-51).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

MBAM-log-2013-05-27 (08-25-51).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[Sandor]

В MBAM ничего удалять не нужно. Выполните эту инструкцию. Ваша система Windows XP SP3 x86.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

[kibmastix]

О ! Спасибо - помогло)

virusinfo_syscheck.zip

virusinfo_syscheck.zip

[Sandor]

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

После удаления вредоносного ПО

[kibmastix]

Security Check by glax24 version 0.1.6.54 rc1

WebSite: www.safezone.cc

DataLog 27.05.2013 13:43:13

Program directory: C:\Documents and Settings\Юрий.SERVER\Local Settings\Temp\SecurityCheck\

Log directory: C:\SecurityCheck\

IsAdmin: True

XML File - VersionInet=4.2

Диск C:\ ФС: NTFS Емкость: (49.1 Гб) Занято: (32.3 Гб) Свободно: (16.8 Гб)

__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)

Дата установки ОС: 24.01.2010 16:45:42

Service Pack 3

Internet Explorer 8.0.6001.18702

-------------Windows------------------------------

Уведомлять о загрузке и установке обновлений

Дата установки обновлений: 2013-05-15 11:07:21

Автоматическое обновление (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

-------------Antivirus_WMI------------------------

ESET Smart Security 4.2

Антивирус обновлен

-------------Firewall_WMI-------------------------

Персональный файервол ESET

-------------AntiVirusFirewallInstall-------------

McAfee Security Scan Plus v.3.0.318.3

-------------OtherUtilities-----------------------

Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300

-------------AdobeProduction----------------------

Adobe Flash Player 11 ActiveX v.11.7.700.202

Adobe Flash Player 11 Plugin v.11.7.700.202

Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления

-------------Browser------------------------------

Mozilla Firefox 20.0.1 (x86 ru) v.20.0.1 Внимание! Скачать обновления

Opera 12.15 v.12.15.1748

-------------EmailClient--------------------------

The Bat! Professional v5.2 v.5.2.0.0 Внимание! Скачать обновления

-------------RunningProcess-----------------------

C:\Program Files\Opera\opera.exe v.12.15.1748.0

-------------EndLog-------------------------------

[akoK]

Обновите софт по ссылкам. Что с проблемами?

[kibmastix]

Обновил. Видимых проблем пока нет. Позднее просканирую вновь.

[Sandor]

Рекомендации после удаления вредоносного ПО.