Довольно странная зараза прошу помощи у профи. Логи прилагаю пока не все так как последний делается очень долго. Некий саундмикс)
Довольно странная зараза прошу помощи у профи. Логи прилагаю пока не все так как последний делается очень долго. Некий саундмикс)
Последний раз редактировалось joniscoolkz; 29.07.2010 в 18:32.
1.нужно 3 лога, почему-то насчитал больше
2.определиться с антивирусами. стоит старый каспер и дрвеб.
нужен 1 антивирус последней версии.
3.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('Messenger', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); QuarantineFile('C:\Documents and Settings\ALL\Шаблоны\WowTumpeh.com',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\dfrg.msc',''); QuarantineFile('C:\Documents and Settings\ALL\Local Settings\Application Data\smss.exe',''); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); DeleteFile('C:\Documents and Settings\ALL\Шаблоны\WowTumpeh.com'); DeleteFile('C:\Documents and Settings\ALL\Local Settings\Application Data\smss.exe'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); ExecuteRepair(13); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12118
4. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
5.обновить базы АВЗКод:F2 - REG:system.ini: Shell=
6.Новые логи сделать
Последний раз редактировалось drongo; 02.09.2007 в 13:58.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
так...
был доктор веб... снести его нормально не получилось, снес регклинером видимо не до конца... Поставил 5-ку каспер потому что машина слабая наврятли 6-ку потянет...
Срипты выполнил все пофиксил, файл карантина залил "Файл закачан, спасибо!".
Логи щас повторю...Результат загрузки
Файл сохранён как 070902_050421_virus_46da8aa5672b4.zip
Размер файла 12282
MD5 38315dba9657650bd5b8134234a6ba9e
Файл закачан, спасибо!
А четыре лога эт с форума каспера привычка)
Последняя 7-ка
Добавлено через 5 минут
1.http://wiki.drweb.com/index.php/Очис...енного_Dr.Web®
2.касперский удалить, старая версия не нужна . 7 версия менее ресурсоёмка чем 5ка . Так что если 5ка работает, то и 7ка будет
3.только затем делать логи.
Последний раз редактировалось drongo; 02.09.2007 в 14:18. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
повторяю логи
Последний раз редактировалось joniscoolkz; 29.07.2010 в 18:32.
1. Выполнить скрипт:
2. Пофиксить:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\soundmix.exe'); BC_DeleteFile('C:\WINDOWS\system32\soundmix.exe'); BC_Activate; RebootWindows(true); end.
3. Выложить новый лог hijackthis после перезагрузки.O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
это уже после новых логов?
Да.
вот хиджак... Вроде все чисто теперь. Огромное спасибо!
Последний раз редактировалось joniscoolkz; 29.07.2010 в 18:32.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.fjq (DrWEB: Trojan.MulDrop.8347)
Уважаемый(ая) joniscoolkz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.