[решено] неизвестный wciactrl.exe и профилактика

strey · Отправлено: **17:44, 16-02-2009** | #11

Включите брандмауэр windows и запретите netbios
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

включить и выключить фаер волл?
Как отклюячить нетбиос? Плохо искал и не нашел

Pili · Отправлено: **18:09, 16-02-2009** | #12

Цитата strey:

включить и выключить фаер волл? »

Да, если есть например Outpost, comodo или другие подобные файрволы, которые могут помешать работе утилит (AVZ и пр.)

Цитата strey:

Как отклюячить нетбиос? Плохо искал и не нашел »

Что такое брандмауэр Windows
Настройка брандмауэра Windows
В исключениях убрать общий доступ к файлам и принтерам.

strey · mbam-log-2009-02-17 (01-22-21).rar

на компе стоит только нод32, который я выключал, но его ядро не выгружалось, как оказалось.
За день сделал все по списку, только вот смутила строка о отсутствии консоли востановления в логе

Но если это стандартная консолька востановления, то с ней работать умею. Собсно файлы прилагаю:

Pili · Отправлено: **08:17, 17-02-2009** | #14

strey, fhvglh.exe - Packed.Win32.Klone.bj, wciactrl.exe - Trojan.Win32.Buzus.alma, sysdrv32.sys - Worm.Win32.AutoRun.ezt - по касперскому
frnscli32.dll - Trojan.Win32.Agent2.dsp, txsocm32.dll - Trojan-Downloader.Win32.Agent.bhsv - новенькие, касперский теперь знает и должен знать DrWeb.
Эти файлы уже удалены.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
e:\windows\system32\40.scr
e:\windows\system32\41.scr
e:\windows\system32\sysmgr.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11789:TCP"=-

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Папку C:\Qoobox\Quarantine\, папку C:\_OTMoveIt\MovedFiles с паролем virus, а также файл C:\SDFix\backups\backups.zip запакуйте пожалуйста паролем virus и пришлите мне на user15802[at]mail.ru
Далее деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u и запустите OTMoveIt3 и нажмите “CleanUp!”
Для контроля сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и новые логи RSIT

strey · mbam-log-2009-02-17 (12-42-42).rar

большое спасибо за помощь, вот логи и файлы:

Pili · Отправлено: **13:39, 17-02-2009** | #16

strey, файлы с новыми вирусами дошли, спасибо, уйдут в вирлаб :)
Проверьте ещё файл e:\windows\system32\00.scr на virustotal.com, если зловред - удалите. Лог MBAM не нужен был, лог RSIT не сделали. По логу AVZ и combofix больше ничего плохого не вижу. Проблемы ещё наблюдаются?