После лечения CureIt, многие ошибки ушли, но одна осталась.
После лечения CureIt, многие ошибки ушли, но одна осталась.
Последний раз редактировалось tehnik34; 20.05.2010 в 16:16.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\locale.exe'); QuarantineFile('C:\Documents and Settings\LocalService\.exe',''); QuarantineFile('c:\windows\system32\wsnpoema.exe',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('port135sik'); QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('nicsk32'); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); DeleteService('ati64si'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('amd64si'); QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys',''); DeleteService('acpi32'); QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('c:\windows\system32\wsnpoema.exe'); DeleteFile('C:\Documents and Settings\LocalService\.exe'); ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(17); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Выполнил скрипт, ошибка ушла, повторяю логи. Выслал карантин.
Последний раз редактировалось tehnik34; 20.05.2010 в 16:16.
выполните скрипт
85.255.115.107 - ваш днс сервер ?Код:begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
DNS сервера нет, свойствах он тоже нигде не прописан.
пофиксите
Код:O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.217 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.217 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.217 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.217 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.217
Огромное спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wsnpoema.exe - Trojan-Spy.Win32.Zbot.pnh ( BitDefender: Trojan.Waledac.Gen.1 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) tehnik34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.