Показано с 1 по 18 из 18.

Подозрительные файлы в корне С:\ (заявка № 51824)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55

    Exclamation Подозрительные файлы в корне С:\

    Доброго времени суток
    обнаружил на одном из компов, подозрительные файлы
    в корне диска С:\ и в процессах системы. Просканил комп
    утилитой Dr.Web CureIt, она ничего не нашла, но такой файл
    как khs в корне диска с нулевым размером лежит, по мимо него
    лежат ещё какие то подозрительные файлы которые утилита тоже не определила
    поглядите пожалуйста логи, лиги выполнил по 3 скрипту по правилам,
    так же выполнил 4 скрипт по правилам, подскажите куда его выложить, а то не найду линку
    Последний раз редактировалось pog0; 15.01.2010 в 13:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    10.17.112.1 kiosk
    Вы его сами в hosts прописывали?


    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O20 - AppInit_DLLs: SnPrnCtrl.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('heszaotk');
     StopService('jctjxh');
     QuarantineFile('C:\WINDOWS\system32\02.tmp','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\OfficeScanRemoveCtrl.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\OfficeScanSetup.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\WinNTChk.dll','');
     QuarantineFile('SnPrnCtrl.dll','');
     DeleteFile('SnPrnCtrl.dll');
     DeleteFile('C:\WINDOWS\system32\SnPrnCtrl.dll');
     DeleteFile('C:\WINDOWS\system32\02.tmp');
     DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
     DeleteService('jctjxh');
     DeleteService('heszaotk');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('jctjxh');
    BC_DeleteSvc('heszaotk');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Удалите AdAware
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте лог GMER
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Добавлено через 42 секунды

    Цитата Сообщение от pog0 Посмотреть сообщение
    так же выполнил 4 скрипт по правилам
    Скрипт 4 в правилах не упоминается.
    Последний раз редактировалось Rene-gad; 11.08.2009 в 20:01. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    Цитата:
    10.17.112.1 kiosk
    Вы его сами в hosts прописывали?
    да это мной прописывалось
    у меня такой вопросик:
    Что делать если после выполнения скрипта
    комп не перезагрузился, а выдал ошибку
    Invalid data type for "
    ?
    мне проолжить осуществлять снятие логов
    дальше по вышему посту или будут изменения
    в лечении?

    И ещё вопрос по поводу карантина, вам высылать
    весь карантин (вчерашний и сегодняшний) или
    тольок сегодняшний после выполниния скрипта?
    p.s. после выполнения скрипта с ошибкой, сейчас
    поглядел, карантин пустой

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от pog0 Посмотреть сообщение
    мне проолжить осуществлять снятие логов
    Да.
    дальше по вышему посту
    Да
    И ещё вопрос по поводу карантина
    высылать
    только сегодняшний после выполнения скрипта

  6. #5
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    после выполнения скрипта
    комп не перезагрузился, а выдал ошибку
    p.s. после выполнения скрипта с ошибкой, сейчас
    поглядел, карантин пустой
    так что с высыланием карантина возможно проблемы, нету его))

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от pog0 Посмотреть сообщение
    так что с высыланием карантина возможно проблемы, нету его))
    Так зачем вопрос задаете, если высылать нечего?

  8. #7
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    я думал вы подскажите как быть, что бы
    после выполнения скрипта не вываливалась
    выше написанная ошибка и всё таки получить
    карантин для отправки

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от pog0 Посмотреть сообщение
    я думал вы подскажите как быть, что бы
    после выполнения скрипта не вываливалась
    выше написанная ошибка
    Вылечим машину - не будет вываливаться
    и всё таки получить
    карантин для отправки
    ну если не попало в карантин - бог с ним.

    ЛОГИ ГДЕ?

  10. #9
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    Извеняюсь за задержку
    Поглядите пожалуйста логи
    все вышеперечисленные вами действия выполнил
    надеюсь ничего страшного, если я в авз
    выполнил 2ой скрипт, а не 3ий, он просто побыстрее
    проверку проводит, а то и так на компе работа стоит.
    з.ы. подозрительные файлы в корне диска всё ещё
    присутствуют
    Последний раз редактировалось pog0; 15.01.2010 в 13:44.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от pog0 Посмотреть сообщение
    надеюсь ничего страшного, если я в авз
    выполнил 2ой скрипт, а не 3ий, он просто побыстрее
    Если Вы вместо слабительного снотворное примете - поможет? Скрипт 3 лечит, скрипт 2 - нет.

    Откройте новый текстовый файл.
    Скопируйте в него код:
    Код:
    gmer.exe -del service jctjxh
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jctjxh"
    gmer.exe -del reg " HKLM\SYSTEM\ControlSet003\Services\jctjxh"
    gmer.exe -reboot
    и сохраните файл в той же папке, где находится файл gmer.exe, под именем 333.bat.
    Запустите файл 333.bat двойным щелчком.

    После перезагрузки повторите все логи.

  12. #11
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    простите за такую задержку
    поглядите пожалуйста логи
    Последний раз редактировалось pog0; 15.01.2010 в 13:44.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Выполните скрипт:

    Код:
    begin
    ClearQuarantine;    
    SetAVZGuardStatus(True);
     DeleteService('heszaotk');
     DeleteFile('C:\WINDOWS\system32\02.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('heszaotk');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог...

  14. #13
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    поглядите пожалуйста логи
    Последний раз редактировалось pog0; 15.01.2010 в 13:44.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Поставьте надежный пароль на учетные записи с правами Администратора.
    Вышла новая версия AVZ. Скачайте её и сделайте новые логи.

  16. #15
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    вот переделанные логи, новой версией авз-та
    Последний раз редактировалось pog0; 15.01.2010 в 13:44.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     BC_DeleteSvc('heszaotk');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Обновите базы AVZ.
    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  18. #17
    Junior Member Репутация
    Регистрация
    12.05.2009
    Сообщений
    106
    Вес репутации
    55
    всё выполнил
    вот инфа оп закачке
    Файл сохранён как090828_145807_virusinfo_files_comp3_4a97b83f300 a8.zip
    Размер файла8995776
    MD59b1f0bb14f447cbe8ec048f4efc664f8

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Жалобы есть?

  • Уважаемый(ая) pog0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительные файлы в корне диска С:\ - plg.txt, klpclst.dat, wndsksi.inf
      От Саша Йоркширський в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.06.2012, 20:06
    2. Файлы(khs,khx) в корне диска
      От vlml в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.09.2011, 23:02
    3. Пропали файлы в корне дисков
      От SiTy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.11.2010, 03:54
    4. В корне диска появляются файлы
      От xZEROx в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 28.05.2009, 14:20
    5. Файлы autorun.inf в корне диска
      От Алексей Стрельников в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.02.2009, 14:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00979 seconds with 19 queries