Здравствуйте!!!
Компьютер несколько раз самопроизвольно перезагрузился. при проверке системы высветилось подозрение на троян.
самопроизвольная перезагрузка компа
Здравствуйте!!!
Компьютер несколько раз самопроизвольно перезагрузился. при проверке системы высветилось подозрение на троян.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin ClearQuarantine; SetAVZGuardStatus(True); BC_QrFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\winlogon.exe',''); QuarantineFile('c:\windows\system32\idaw64.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA',''); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); BC_QrSvc('ICF'); BC_DeleteSvc('ICF'); BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
Добавлено через 9 часов 39 минут
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\windows\system32\idaw64.exe'); DeleteFile('c:\docume~1\admin\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\DefLib.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи и приложите их к вашей теме.
Добавлено через 3 минуты
Все зловреды детектируются утилитой CureIt. Можно было просто проверить ей компьютер. Лучше брать бета-версию:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe
Насчет еще раз прислать карантин - отбой.
Последний раз редактировалось AndreyKa; 13.09.2007 в 10:04. Причина: Добавлено
добрый день!!!
вот новые логи.
один зараженный файл остался.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin BC_QrFile('C:\WINDOWS\Offline Web Pages\svchost.exe'); BC_DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe'); BC_DeleteSvc('System Scheduler'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12409
Так же пришлите файл SCBAL.exe по правилам.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Что из этого вам нужно?остальное пофиксим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> разрешена потенциально опасная служба TermService (Terminal Services)
>> разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Уважаемый, Muzzle!
В "цитате" ничего для меня ценного нет, поэтому пофиксить можно все.
вот скрипт который это пофиксит,а остальные рекомендации вы сделали?
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:begin SetServiceStart('TermService', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('SSDPSRV', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
сделала, вот только проблема была с пунктом 2.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
после того как я это сделала вылезает все время сообщение
НЕ УКАЗАНО ИМЯ dll...
даже после возвращения бекапа, это окно лезет.
Нужен лог HijackThis.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
я ранее отправляла логи, после добавления скриптов
могу продублировать, может нужен какой-то другой лог
вроде файлы подцепились, если нет, то сорри
Новенький нужен, после всех действий. Актуальный, так сказать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот они!!!
Прошу уточнения: а не написано ли какой Dll не хватает.
В логах чисто, следов заражения не видно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
я напишу чего не хватает, это сообщение появляется при включении компа.
но еще, у меня в карантине лежит файл с подозрением на Dialer.Win32.Generic ...
и семантек все время ссылается на него.
После добавления скриптов два трояновских файла были уничтожены. а этот живее всех живых!!!
Карантин загрузить через ссылку вверху, а затем карантин Avz можно почистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вы знаете, я его(этот файл) удаляла через карантин, но при проверке компа на вирусы, он лезет снова.
Этот Ваш SCVal.exe проверил на virustotal.com. Ни одного подозрения.
Можете быть спокойны.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вы меня успокоили
к сожалению снесен на компе фотошоп, не могу выслать Вам скрин, поэтому пришлю файл напечатанный
Добавлено через 14 минут
Использование: regsvr32[/u] [/s] [/i[:строка_команд]] Dll-файл
/u -Отменяет регистрацию DLL
/s - "Тихий режим; окна сообщения не отображаются
/i - Вызывает DLLInstall, передавая параметром необязательную строку_команд, при использовании с ключом/и вызывает DLLUnIstall
/n - Не вызывает DLLRegisterServer; это может использоваться с ключом /i
и просить нажать ок, окно высвечивается только при включении и перезагрузке
Последний раз редактировалось valeri; 14.09.2007 в 12:53. Причина: Добавлено
Скриншот делается и без всякого специального софта: http://virusinfo.info/showthread.php?t=8577, небольшие корректуры можно сделать с помощью http://irfanview.tuwien.ac.at/ или http://www.getpaint.net/index.htmlСообщение от valeri
это окно сообщения все время лезет при загрузке
Поступим так:
в AVZ Сервис -- Поиск данных по реестру -- набиваем regsvr32 -- затем сохранить Протокол.
Далее Протокол в студию, заговорился, сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) valeri, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
