только недавно почистился, а тут через два дня после проверки CureIt и AVZ снова понаходило кучу гадостей. при єтом комп дико(!!!) тормозит при загрузке. и можно ли постараться разобраться со всем этим за сегодня, плиз?!
логи прикрепил.
только недавно почистился, а тут через два дня после проверки CureIt и AVZ снова понаходило кучу гадостей. при єтом комп дико(!!!) тормозит при загрузке. и можно ли постараться разобраться со всем этим за сегодня, плиз?!
логи прикрепил.
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
Сразу куча вопросов: Почему в Safe Mode логи сделаны? Восстановление отключено?
Значит так, отключаем "Восстановление системы". Делаем логи в норм. режиме, перед этим очистив папку карантина AVZ.
З.Ы.
Про Антивирусы и фаерваллы в Одессе не знают тоже. Извини, если про город обшибся.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. Отключите восстановление системы!!
2. Очистите временные файлы IE.
3. Выполните скрипт в AVZ:
4. После перезагрузки выполните второй скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe',''); QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll',''); BC_QrSvc('runtime2'); BC_QrSvc('ip6fw'); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
5. Пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll'); DeleteFile('C:\WINDOWS\system32\kernelwind32.exe'); DeleteFile('C:\WINDOWS\system32\spoolsvv.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportDeletedList; BC_DeleteSvc('runtime2'); BC_DeleteSvc('ip6fw'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
6. Сделайте новые логи.
I am not young enough to know everything...
я не могу нормально работать в норм режиме, даже печатать - буквы появляются через 1-2 мин после их набора, все программы загружаются (если таки загружаются) мин через 5-6... фигня какая-то.
в безопасном режиме логи нельзя вобще?
з.ы. фаерволл стоит, но родной виндовский. и был НОД32, но временно пришлось убрать, вот за это время пока нет и наловилось..((( просто еще доступ к машине не один я имею (но отвечаю я за него), поэтому за всеми следить не могу....
з.ы. с Одессы
Добавлено через 2 минуты
скрипты сейчас попробую прописать, если в норм режиме запустится АВЗ. А вот как сделать "Очистите временные файлы IE" - не знаю, нопишите, плз, подробно, если можно...
Последний раз редактировалось punk_prankster; 03.07.2007 в 19:57. Причина: Добавлено сообщение
для IE: Сервис - Св-ва обозревателя -- Временные файлы Интернет
Off: Вылечил ноут клиенту. Поставил Antivir + Comodo Firewall.
Вчера приходит: набор зловредов примерно твой после того как дочка в чате посидела. Что видим: Фаервалл в состоянии Allow All (заходите и берите все), еще зачем-то стоит AVG с необновляемыми базами.
@Bratez Карантин очень здоровый будет. Там много чего из System Restore закачано.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин выслал, сейчас вышлю новые логи...
после всех действ высылаю новые логи.
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
да, еще обнаружил, что при нажатии Контрл-Альт-Дел не запускаетя диспетчер задач - пишет "диспетчер задач отключен администратором", но я вроде ничего подобного вручную не делал... не может это быть последствием какого-нибудь зверя???
http://windowsxp.mvps.org/Taskmanager_error.htm
вот здесь нашел способы устарнения этого (в частности думаю применить способ удаления реестра из HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System), но пока без вашего совета не хочу этого делать...
Выполните скрипт:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temp\*.*'); DelWinlogonNotifyByFileName('bot.dll'); ExecuteSysclean; ExecuteRepair(11); RebootWindows(true); end.
Сделайте логи в нормальном режиме.
I am not young enough to know everything...
punk_prankster, На будущее, уже после лечения заведи пользователя с ограниченными правами и пусть все остальные через него работают. Мысль эта не новая пришла через 10 минут после выхода с работы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
после всех скриптов сделал новые логи. во время скана АВЗ в тле плиска пишет что некий файл 750718.exe подозрение на Rootkit.Win32.Agent.ey...
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
Выполнить скрипт, после перезагрузки прислать карантин.
Профиксить в HijackThisКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('yes.exe',''); QuarantineFile('C:\Program Files\Common Files\winctl.dll',''); BC_DeleteFile('C:\Program Files\Common Files\winctl.dll'); BC_DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temp\750718.exe'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Сделать новые логи.Код:O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин отправил, сделал логи.
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
C:\Program Files\Common Files\winctl.dll - downloader (Symantec)
Профиксить в hijackthis:
Что за программа в "Автозапуске" ALCalendar? В карантин не попала.Код:O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
В остальном - чисто. См. сообщение №10, как лучше работать.
Директорию с карантинами AVZ можно почисть.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) punk_prankster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.