Добрый день,
нахватался "нечисти" не могу сдыхаться. Траффик рвет и лезет куда только можно. (в DUmetter хорошо видно).
Логи как всегда в аттаче.
Сенкз ин эдванс,
Юрий
Добрый день,
нахватался "нечисти" не могу сдыхаться. Траффик рвет и лезет куда только можно. (в DUmetter хорошо видно).
Логи как всегда в аттаче.
Сенкз ин эдванс,
Юрий
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe',''); QuarantineFile('C:\WINDOWS\system32\l33t.exe',''); QuarantineFile('autorun.bat',''); QuarantineFile('C:\WINDOWS\system32\hhw.exe',''); QuarantineFile('C:\WINDOWS\system32\ccapp.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\DOCUME~1\Yuriy\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\microsoft.v.4.0.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\microsoft.v.4.0.dll'); DeleteFile('C:\DOCUME~1\Yuriy\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\ccapp.exe'); DeleteFile('C:\WINDOWS\system32\hhw.exe'); DeleteFile('autorun.bat'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\system32\l33t.exe'); BC_ImportDeletedList; BC_DeleteSvc('runtime2'); BC_DeleteSvc('FCI'); BC_DeleteSvc('l33t'); BC_DeleteFile('c:\windows\system32\drivers\runtime2.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Полный файл с карантином слишком велик - за 3 мегабайта.
Я выбрал только файлы с причиной карантина "скопирован МП" и положил в файл Q.zip.
Последний раз редактировалось yuraf; 21.10.2007 в 13:22.
Карантин из сообщения уберите и загрузите сюда:
http://virusinfo.info/upload_virus.php?tid=13399
(желательно полный)
Добавлено через 4 минуты
Почему не отключали восстановление системы - там наверняка есть копии удаленных зловредов. Отключите его сейчас.
Пофиксите в HijackThis:
На всякий случай перезагрузитесь и сделайте повторно лог HijackThis.Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - Winlogon Notify: microsoft.v.4.0reg - C:\Documents and Settings\All Users\Документы\Settings\microsoft.v.4.0.dll (file missing)
Последний раз редактировалось Bratez; 21.10.2007 в 13:09. Причина: Добавлено
I am not young enough to know everything...
Перепутал галочки с восстановлением. Оно у меня было отключено ранее, а я его включил ;(
Карантин загрузил. Файл сохранён как071021_041425_virusinfo_files_YFEDOROV_471b1871 2db27.zip
Траффик по нету вроде перестал гулять
Последний раз редактировалось yuraf; 21.10.2007 в 13:23.
BR
в логе чисто ...
BR,
Юрий
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) yuraf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.