-
Junior Member
- Вес репутации
- 60
Невозможно вывести заразу с компьютера.
Постоянно всплывают различные вредоносные программы. Менял антивирусы, фаерволы, но максимум, что они сделают - заблокируют на время, а при следующей проверке или просто во время пользования, всякие вирусы, spyware и проч. всплывают вновь, также подхватывается новая зараза. Боюсь, что у меня полно уязвимостей и дыр. Хочется это прекратить.
Последний раз редактировалось ~XIII~; 02.01.2008 в 23:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\iwtplykr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\FileDisk.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\ei0nkt2e.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\devmgy.sys','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
QuarantineFile('C:\WINDOWS\system32\flym.dll','');
DeleteFile('C:\WINDOWS\system32\flym.dll');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://7255.com/?g
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll
O9 - Extra button: ТЧИ¤№єОп - {FFB2385E-E812-4091-8C12-2370DC67F769} - http://www.eachnet.com/specials/digi.html?adid=dzcm_dza_000_soft0_digi (file missing)
O20 - Winlogon Notify: MicroQC - smrss.dll (file missing)
Загрузите карантин по этой ссылке. Повторите логи. Удалите Ad-Aware.
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось ~XIII~; 02.01.2008 в 23:18.
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\9a51.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iwtplykr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ei0nkt2e.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\devmgy.sys','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\vwrdbzix.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\vwg.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\o0fkst.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\ik67d8.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\do5.dll','');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
Скрипт прерывает ошибка Falied to set data for 'DisplayName'. Карантин не создается. Последняя запись протокола - Ошибка в работе антируткита [Range check error], шаг [11]
-
Это из-за Аутпоста. Выполните скрипт в безопасном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
-
C:\WINDOWS\system32\Drivers\iwtplykr.sys TR/Rootkit.Gen
C:\WINDOWS\system32\9a51.dll Trojan:Win32/Agent
C:\WINDOWS\system32\drivers\mxdispdr.sys BackDoor-DMB.sys
C:\WINDOWS\system32\drivers\ei0nkt2e.sys TR/Rootkit.Gen
C:\WINDOWS\system32\Drivers\devmgy.sys TR/Zapchast.DM
C:\WINDOWS\Downlo~1\ik67d8.dll TR/Agent.49152
C:\WINDOWS\Downlo~1\vwrdbzix.dll TR/Crypt.CFI.Gen
C:\WINDOWS\Downlo~1\vwg.dll TR/Agent.49152
C:\WINDOWS\Downlo~1\o0fkst.dll TR/Agent.49152
C:\WINDOWS\Downlo~1\do5.dll TR/Agent.49152
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\9a51.dll');
DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\iwtplykr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ei0nkt2e.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\devmgy.sys');
DeleteFile('C:\WINDOWS\Downlo~1\vwrdbzix.dll');
DeleteFile('C:\WINDOWS\Downlo~1\vwg.dll');
DeleteFile('C:\WINDOWS\Downlo~1\o0fkst.dll');
DeleteFile('C:\WINDOWS\Downlo~1\ik67d8.dll');
DeleteFile('C:\WINDOWS\Downlo~1\do5.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Shu_b; 02.01.2008 в 23:08.
-
сделайте логи в нормальном режиме ...
-
-
Junior Member
- Вес репутации
- 60
Арррр...
Последний раз редактировалось ~XIII~; 02.01.2008 в 23:18.
-
выполните скрипт ....
Код:
begin
BC_DeleteFile('C:\WINDOWS\system32\Drivers\iwtplykr.sys');
BC_DeleteSvc('iwtplykr');
BC_Activate;
RebootWindows(true);
end.
повторите логи ....
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось ~XIII~; 02.01.2008 в 23:18.
-
выполните скрипт из поста 12 в safe mode ....
повторите лог ... virusinfo_syscheck.zip
-
-
http://www.threatexpert.com/report.a...3-f8f10e4823de
Думаю этот "факс" имеет к вашим гадостям прямое отношение..
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{5FB8C5D4-929F-4870-89E2-7E3EE26EE701}');
QuarantineFile('C:\WINDOWS\system32\9a51.dll','');
DeleteService('ms_2fax');
SetServiceStart('ms_2fax', 4);
StopService('ms_2fax');
QuarantineFile('C:\WINDOWS\system32\a5db1.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iwtplykr.sys','');
QuarantineFile('C:\Program Files\iolo\Common\Lib\Antila.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\iwtplykr.sys');
DeleteFile('C:\WINDOWS\system32\a5db1.exe');
DeleteFile('C:\WINDOWS\system32\9a51.dll');
BC_DeleteSvc('iwtplykr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
пришлите новый карантин.
-
-
Junior Member
- Вес репутации
- 60
Сделал.
Файл не могу выложить - форум пишет, что уже выкладывал...
-
C:\WINDOWS\system32\9a51.dll - ADSPY/BaiduBar.DH
C:\WINDOWS\system32\a5db1.exe -Win32:Qhost-AYU
давайте лог ... (удалите старые вложения)
-
-
Junior Member
- Вес репутации
- 60
Что мне делать с этими файлами?
Удалить не могу - форум пишет, что прав нет.
-
подождем тогда ... кого -то из модераторов что бы удалили ...
-
-
Junior Member
- Вес репутации
- 60
А зачем мне было давать их каталоги и имена? И что мне делать с невозможностью дать последний запрошенный лог?