вот нашлось такое + я подозреваю еще что-то есть
p.s. в карантине пусто
tcpsr.sys и производные
вот нашлось такое + я подозреваю еще что-то есть
p.s. в карантине пусто
Последний раз редактировалось shoosha; 27.09.2008 в 13:21.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Wdh26'); DeleteService('Syd26'); DeleteService('smtpdrv'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys',''); DeleteService('Qvb40'); DeleteService('Rxe28'); DeleteService('Pva26'); DeleteService('Ntx61'); DeleteService('Kqu40'); DeleteService('ioS62'); DeleteService('Hot84'); DeleteService('Hnr48'); DeleteService('Glq05'); DeleteService('Djn73'); DeleteService('Din61'); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt64.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt64.dll'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Din61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Djn73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Glq05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hnr48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hot84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ioS62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kqu40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ntx61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pva26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qvb40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rxe28.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Syd26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wdh26.sys'); DeleteFile('WinNt64.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
новые логи
и карантин
080903_041918_virus_48be5696592a7.zip
Последний раз редактировалось shoosha; 27.09.2008 в 13:21.
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлена версия АВЗ. Скачайте последнюю версию по ссылке в правилах.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
Логи выполненные с нарушением правил рассматриваться не будут.
Повторите 3 лога в соответствии с правилами.
Спасибо за понимание.
Последний раз редактировалось Rene-gad; 03.09.2008 в 13:56.
извините с другой папки запустил авз...
вот верные логи
з.ы. hijack 2.0.2 на офсайте или я что то путаю?
Последний раз редактировалось shoosha; 27.09.2008 в 13:21.
Сорри, насчет Хайджека - это я не Вам хотел сказатьСообщение от shoosha
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.ґ
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Wbe03.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tye51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ntx61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lqu72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hnr48.sys',''); DeleteService('Hnr48'); DeleteService('Ntx61'); DeleteService('Lqu72'); DeleteService('Qvb40'); DeleteService('Wbe03'); DeleteService('Tye51'); DeleteFile('C:\WINDOWS\System32\Drivers\Hnr48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lqu72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ntx61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qvb40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tye51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wbe03.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Hnr48'); BC_DeleteSvc('Ntx61'); BC_DeleteSvc('Lqu72'); BC_DeleteSvc('Qvb40'); BC_DeleteSvc('Wbe03'); BC_DeleteSvc('Tye51'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 03.09.2008 в 14:01.
новые логи
карантин
080903_052443_2008-09-03_48be65eb739a8.zip
Последний раз редактировалось shoosha; 27.09.2008 в 13:21.
Проблем в логах не вижу.
На что жалуетесь?
интернет через adsl подключен по витой от модема. периодически отключается включается соединение. т.е. внизу в трее мигает подключение как буд-то получает новый адрес по DHCP и появляется шарик сообщения типа Сеть снова подключен.
возможно и не вирус
На это м.б. действительно много причин.
Сервис Пак 3 поставить не мешает.
поставил сп3.. поменял сетевуху все хорошо. =)
еще раз спасибо
Уважаемый(ая) shoosha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
