-
Junior Member
- Вес репутации
- 58
your computer is infected!
Проблема появилась казалось бы неоткуда...
Отрубился каспер (6 рус. лицензионный с обновлениями от 05.09.0
После перезагрузки появилась какая-то утилитка в правом нижнем углу и давай кричать, что "your computer is infected! windows has deected spyware infection!" Предлагает что-то качнуть с инета... Пробовать не хачу, какое-то окошко загрузки розовое... не очень-то похоже на виндовую защиту, хотя я не спец, но рисковать не хотца ((
скачал RemoveIt - нашлись какие-то karina и buritos в system32. Вроде замочил их в безопасном ржиме, но при перезагрузке они снова обьявились ((
вот лог RemoveIt
12:10:26: Infected file (Win32.Unknown.Random.X) c:\windows\karina.dat
12:12:28: Infected file (Sys32.buritos) C:\WINDOWS\system32\buritos.exe
12:13:31: Infected file (Sys32.buritos) C:\WINDOWS\buritos.exe
во вложении то что собрал AVP Tools
помогите пожалста???
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
QuarantineFile('\SystemRoot\System32\Drivers\Beep.SYS','');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\karina.dat','');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
BC_DeleteFile('\SystemRoot\System32\Drivers\Beep.SYS');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\karina.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 58
Извните, что задержался.
Ситуация следующая: пока ждал ответа, от вас, поставил аваст хоме.
После перезагрузки он провел "чистку рядов", а после загрузки ожил каспер (переустановленный). снес аваст.
Обновил каспера, проверил комп, показывает что все чисто. removeit тоже ничего не нашел. XP SecurityCenter больше не появлялся.
Логи все равно сделал. Посмотрите пожалуйста?
п.с.: D:\autorun.inf ЭПС: подозрение на скрытый автозапуск - диск D полностью занят системой восстановления от HP (HP Recovery на ноутбуке)
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
-
Приложение правил 3 читали или поленились ?
-
-
Junior Member
- Вес репутации
- 58
-
Что пишут? Почему карантин в теме?
Пофиксить
Код:
O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winnt52');
DeleteService('NtmsSvcVSS');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Winnt52.sys');
DeleteFile('buritos.exe');
DeleteFile('karina.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winnt52');
BC_DeleteSvc('NtmsSvcVSS');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Офф-топ:Мухамед Али
-
-
Junior Member
- Вес репутации
- 58
Уважаемый, ГРИША, извените за офтоп, а кто автор цитаты? Уж больно здорово написано!
Добавлено через 6 минут
извните, читал в распечатке, сделанной с оперы, форматирование текста отсутствовало. думал просто надо прослать файл вложением. сечас поправлю... тока в карантине ничего нету, тока крак и пара подозрений
Последний раз редактировалось Pokee; 08.09.2008 в 16:38.
Причина: Добавлено
-
Значит не нужно присылать
-
-
Junior Member
- Вес репутации
- 58
эм.. н успел )) уж отослал
пофиксил
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Уважаемый, Rene-gad, вот содержимое авторана.
[AUTORUN]
ShellExecute=Info.exe protect.ed 480 480
диск Д полностью отдан под систему HP Recovery на ноутбуке HP 510
можно я не буду его мочить?
этот авторан там с самого начала и его содержимое н менялось. я ручаюсь
вот скрин
Последний раз редактировалось Pokee; 02.02.2009 в 15:13.
-
Сообщение от
Pokee
можно я не буду его мочить?
Можно и спасибо, что сказали.
Больше ничего зловредного не видать.
Сервис Пак 3 поставьте, возможно потребуется активация системы.
-
-
Junior Member
- Вес репутации
- 58
Фух! Ребят всем агромное спасибо! Как всегда оперативно и полезно!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-