Показано с 1 по 17 из 17.

Не осталось ли еще чего после лечения... (заявка № 10958)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42

    Exclamation Не осталось ли еще чего после лечения...

    Был найден небольшой зверинец, вроде полечил, но не уверен что до конца, потому как проблемы с инетом переодически вылезают опять.
    Проходился AVZ и NOD32
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\time.bat','');
     QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe','');
     QuarantineFile('D:\WINNT\system32\HOLIDA~1.SCR','');
     QuarantineFile('d:\winnt\system32\msvcrtd.exe','');
     DeleteFile('d:\winnt\system32\msvcrtd.exe');
     ClearHostsFile;
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Прислал
    Файл сохранён как 070710_184934_virus_46939c7e5ec74.zip
    Размер файла 357772
    MD5 4364f19a7e8b672bc518261d858c9511

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    msvcrtd.exe - Backdoor.Win32.Agent.alm

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Этот файл уже удалили,проблема осталась?
    Повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Файл из каталога исчез, проблемы тоже пока не проявлялись, но активно компом будут пользоваться завтра.
    Логи повторяю.
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe','');
     QuarantineFile('D:\WINNT\svchost32.exe','');
     DeleteFile('D:\WINNT\svchost32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  9. #8
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Карантин пуст...

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Повторите логи.

  11. #10
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Повторяю
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    time.bat и sysmon.exe сами ставили в автозагрузку?

    Добавлено через 12 минут
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     QuarantineFile('D:\WINNT\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('D:\WINNT\SYSTEM\Mra.EXE','');
     DeleteFile('D:\WINNT\Downloaded Program Files\popcaploader.dll');  
     DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".
    Последний раз редактировалось Макcим; 11.07.2007 в 15:47. Причина: Добавлено сообщение

  13. #12
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Цитата Сообщение от Maxim Посмотреть сообщение
    time.bat и sysmon.exe сами ставили в автозагрузку?
    time.bat синхронизирует время при загрузке (net time \\ws2 /set /yes)
    А вот что такое sysmon.exe - не знаю, и в автозагрузке его не видно...
    Скрипт прогоню чуть позже, когда рабочий день закончится.

    Кстати, файла sysmon.exe в каталоге D:\WINNT\System32\sysmon\ нету, по крайней мере обычными средствами он не виден...
    Так что его, видимо, тоже надо в карантин?

    Добавлено через 1 час 3 минуты
    Закачал карантин
    Файл сохранён как 070711_180929_virus_4694e4993ad3e.zip
    Размер файла 337989
    MD5 e28debdb3748ee75472f568f063a83c0
    Последний раз редактировалось Arhimed; 11.07.2007 в 18:10. Причина: Добавлено сообщение

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Файл чистый.

    Добавлено через 54 минуты
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     BC_QrFile('D:\WINNT\system32\sysmon\sysmon.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.puh.ru/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
    Если после скрипта что-то попадет в карантин, пришлите по правилам раздела "Помогите". Повторите логи.
    Последний раз редактировалось Макcим; 11.07.2007 в 19:50. Причина: Добавлено сообщение

  15. #14
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Карантин пустой, логи прикладываю.
    В HijackThis последней строки
    O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
    не было, все остальные пофиксил.
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Сделайте поиск sysmon.exe при помощи AVZ--сервис-- поиск файлов на диске и если найдётся, то пришлите его по правилам.

  17. #16
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    sysmon.exe не нашелся. Каталог в котором он лежал спокойно удалился.
    Сделал поиск по sysmon.* нашлись с расширениями txt, hlp, chm, ocx, думаю это не то, это виндовые.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Выполните
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     SysCleanAddFile('sysmon.exe');
     ExecuteSysClean;
    RebootWindows(true);
    end.
    повторите логи.

  • Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 22.02.2010, 04:13
    2. Осталось ли что после лечения?
      От Delion в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.01.2010, 13:43
    3. Проверьте, осталось что-то после лечения?
      От mrHill в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.01.2010, 21:30
    4. Ответов: 11
      Последнее сообщение: 18.11.2009, 22:43
    5. Что то осталось после лечения.
      От Skvoll в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.02.2009, 19:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00595 seconds with 21 queries