Junior Member
Вес репутации
57
Поможите, чем можете )))
Доброго времени суток !
После окончания срока действия пробного Касперского был поставлен NOD32. И один и второй наличия вирусов не показывали.
Появились проблемы с самопроизвольным подключением к И-нету, Периодически выскакивают окна IE .
Невозможно подключиться к серверам антивирусных программ : Dr.Web, CureIT , Avast, AVPTools .
AVZ и HiJackThis скачались только с зеркал.
В настоящее время установлен Dr.Web из приложения к журналу Computer Bild, версия не самая новая, ибо не обновить до последней.
Поможите, чем можете )))
ЗЫ. Письма с активацией - не было...
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [MaxAntiSpy] C:\Program Files\MaxAntiSpy\MaxAntiSpy.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\svchosd.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.popcap.com/games/popcaploader_v6.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
Обновите базы AVZ!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\actmovieh.exe','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll',' ');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll',' ');
QuarantineFile('c:\windows\wdmon.exe','');
TerminateProcessByName('c:\windows\wdmon.exe');
QuarantineFile('c:\windows\vlc.exe','');
TerminateProcessByName('c:\windows\vlc.exe');
QuarantineFile('c:\windows\svx.exe','');
TerminateProcessByName('c:\windows\svx.exe');
QuarantineFile('c:\windows\svw.exe','');
TerminateProcessByName('c:\windows\svw.exe');
QuarantineFile('c:\windows\svhoster.exe','');
TerminateProcessByName('c:\windows\svhoster.exe');
QuarantineFile('C:\Program Files\Internet Explorer\svchosd.exe ',' ');
QuarantineFile('c:\windows\svc.exe','');
TerminateProcessByName('c:\windows\svc.exe');
DeleteFile('c:\windows\svc.exe');
DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
DeleteFile('c:\windows\svhoster.exe');
DeleteFile('c:\windows\svw.exe');
DeleteFile('c:\windows\svx.exe');
DeleteFile('c:\windows\vlc.exe');
DeleteFile('c:\windows\wdmon.exe');
DeleteFile('C:\WINDOWS\svc.exe');
DeleteFile('C:\WINDOWS\svhoster.exe');
DeleteFile('C:\WINDOWS\svw.exe');
DeleteFile('C:\WINDOWS\svx.exe');
DeleteFile('C:\WINDOWS\vlc.exe');
DeleteFile('C:\WINDOWS\wdmon.exe');
DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
DeleteFile('C:\Program Files\Internet Explorer\svchosd.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('msansspc.dll');
DeleteFileMask('%tmp% ','*.* ',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
SetAVZPMStatus(true);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
Спасибо, Григорий !
1) При пофиксении почему-то не оказалось строчки :
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe,
Остальное - пофиксил
Карантин выслал
Логи - прикрепил.
Из изменений :
Пока , тьфу-тьфу, самостоятельно никто в сеть не рвется.
Но к антивирусным сайтам допуска нет по-прежнему.
Запущено аж 6 процессов svchost.exe, это - нормально ?
Вложения
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\TDSSofxh.dll');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\teste1_p.exe','');
QuarantineFile('\systemroot\system32\drivers\TDSSpaxt.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSpaxt.sys');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\teste1_p.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи ...
Junior Member
Вес репутации
57
И Вам, добрый человек, спасибо !
Продолжу наблюдения завтра.
Вложения
в логах ничего плохого ...