-
Junior Member
- Вес репутации
- 59
неизвестный зловред похоже
Приветствую уважаемый форум!
Сегодняшний AVPTool и AVZ ничего не находит...
Хотя даже судя по ветке автостарта реестра присутствует гадость..
Симптомы: комп иногда перезагружается самопроизвольно, после загрузки винда пишет: "Система восстановлена после серьезной ошибки"
Логи прилагаю
Спасибо
Александр
Последний раз редактировалось Reanimator177; 03.03.2009 в 11:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll (file missing)
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Admin\svchost.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Admin\svchost.exe
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCAEECFC-E129-4163-95DD-64EC9847A12B}: NameServer = 85.255.112.127;85.255.112.82
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdhcp.exe','');
DeleteFile('C:\WINDOWS\system32\kdhcp.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=39884).
4. Удалите программу MyCentria через "Установка-удаление программ".
5. Удалите программу Bonjour.
6. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
сделал
Файл в карантине имеет нулевую длину - высылать не стал.
Новые логи
Большое спасибо за помощь!
Последний раз редактировалось Reanimator177; 03.03.2009 в 11:28.
-
Выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel( 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
DeleteFile('C:\Documents and Settings\Admin\svchost.exe');
ExecuteSysClean;
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После удаления Bonjour программку LSPFix видимо не использовали? Связь с сетью не нарушилась? В любом случае стоило бы ее применить.
Сделайте еще раз логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Bonjour удалял при помощи скрипта AVZ
Сейчас проделал это с помощью LSPFix.
Прилагаю новые логи
Спасибо!
Последний раз редактировалось Reanimator177; 03.03.2009 в 11:28.
-
Вот эту строчку пофиксите:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCAEECFC-E129-4163-95DD-64EC9847A12B}: NameServer = 85.255.112.127;85.255.112.82
Перезагрузитесь и снова загляните в HijackThis.
Если она опять не появится, то все в порядке.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Пофиксил
перезагрузил
вновь эта строчка не появилась
Еще раз спасибо!