-
Junior Member
- Вес репутации
- 55
Подозрительные файлы в корне С:\
Доброго времени суток
обнаружил на одном из компов, подозрительные файлы
в корне диска С:\ и в процессах системы. Просканил комп
утилитой Dr.Web CureIt, она ничего не нашла, но такой файл
как khs в корне диска с нулевым размером лежит, по мимо него
лежат ещё какие то подозрительные файлы которые утилита тоже не определила
поглядите пожалуйста логи, лиги выполнил по 3 скрипту по правилам,
так же выполнил 4 скрипт по правилам, подскажите куда его выложить, а то не найду линку
Последний раз редактировалось pog0; 15.01.2010 в 13:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вы его сами в hosts прописывали?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O20 - AppInit_DLLs: SnPrnCtrl.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('heszaotk');
StopService('jctjxh');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\OfficeScanRemoveCtrl.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\OfficeScanSetup.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\WinNTChk.dll','');
QuarantineFile('SnPrnCtrl.dll','');
DeleteFile('SnPrnCtrl.dll');
DeleteFile('C:\WINDOWS\system32\SnPrnCtrl.dll');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
DeleteService('jctjxh');
DeleteService('heszaotk');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('jctjxh');
BC_DeleteSvc('heszaotk');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Удалите Bonjour
- Удалите AdAware
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Добавлено через 42 секунды
Сообщение от
pog0
так же выполнил 4 скрипт по правилам
Скрипт 4 в правилах не упоминается.
Последний раз редактировалось Rene-gad; 11.08.2009 в 20:01.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
Цитата:
10.17.112.1 kiosk
Вы его сами в hosts прописывали?
да это мной прописывалось
у меня такой вопросик:
Что делать если после выполнения скрипта
комп не перезагрузился, а выдал ошибку
?
мне проолжить осуществлять снятие логов
дальше по вышему посту или будут изменения
в лечении?
И ещё вопрос по поводу карантина, вам высылать
весь карантин (вчерашний и сегодняшний) или
тольок сегодняшний после выполниния скрипта?
p.s. после выполнения скрипта с ошибкой, сейчас
поглядел, карантин пустой
-
Сообщение от
pog0
мне проолжить осуществлять снятие логов
Да.
Да
И ещё вопрос по поводу карантина
высылать
только сегодняшний после выполнения скрипта
-
-
Junior Member
- Вес репутации
- 55
после выполнения скрипта
комп не перезагрузился, а выдал ошибку
p.s. после выполнения скрипта с ошибкой, сейчас
поглядел, карантин пустой
так что с высыланием карантина возможно проблемы, нету его))
-
Сообщение от
pog0
так что с высыланием карантина возможно проблемы, нету его))
Так зачем вопрос задаете, если высылать нечего?
-
-
Junior Member
- Вес репутации
- 55
я думал вы подскажите как быть, что бы
после выполнения скрипта не вываливалась
выше написанная ошибка и всё таки получить
карантин для отправки
-
Сообщение от
pog0
я думал вы подскажите как быть, что бы
после выполнения скрипта не вываливалась
выше написанная ошибка
Вылечим машину - не будет вываливаться
и всё таки получить
карантин для отправки
ну если не попало в карантин - бог с ним.
ЛОГИ ГДЕ?
-
-
Junior Member
- Вес репутации
- 55
Извеняюсь за задержку
Поглядите пожалуйста логи
все вышеперечисленные вами действия выполнил
надеюсь ничего страшного, если я в авз
выполнил 2ой скрипт, а не 3ий, он просто побыстрее
проверку проводит, а то и так на компе работа стоит.
з.ы. подозрительные файлы в корне диска всё ещё
присутствуют
Последний раз редактировалось pog0; 15.01.2010 в 13:44.
-
Сообщение от
pog0
надеюсь ничего страшного, если я в авз
выполнил 2ой скрипт, а не 3ий, он просто побыстрее
Если Вы вместо слабительного снотворное примете - поможет? Скрипт 3 лечит, скрипт 2 - нет.
Откройте новый текстовый файл.
Скопируйте в него код:
Код:
gmer.exe -del service jctjxh
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jctjxh"
gmer.exe -del reg " HKLM\SYSTEM\ControlSet003\Services\jctjxh"
gmer.exe -reboot
и сохраните файл в той же папке, где находится файл gmer.exe, под именем 333.bat.
Запустите файл 333.bat двойным щелчком.
После перезагрузки повторите все логи.
-
-
Junior Member
- Вес репутации
- 55
простите за такую задержку
поглядите пожалуйста логи
Последний раз редактировалось pog0; 15.01.2010 в 13:44.
-
Выполните скрипт:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteService('heszaotk');
DeleteFile('C:\WINDOWS\system32\02.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('heszaotk');
BC_Activate;
RebootWindows(true);
end.
Повторите лог...
-
-
Junior Member
- Вес репутации
- 55
поглядите пожалуйста логи
Последний раз редактировалось pog0; 15.01.2010 в 13:44.
-
Поставьте надежный пароль на учетные записи с правами Администратора.
Вышла новая версия AVZ. Скачайте её и сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 55
вот переделанные логи, новой версией авз-та
Последний раз редактировалось pog0; 15.01.2010 в 13:44.
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
BC_DeleteSvc('heszaotk');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 55
всё выполнил
вот инфа оп закачке
Файл сохранён как090828_145807_virusinfo_files_comp3_4a97b83f300 a8.zip
Размер файла8995776
MD59b1f0bb14f447cbe8ec048f4efc664f8
-
-