Сканер ДрВеб пролечил/удалил что мог. Есть подозрение что не все.
Поглядите плиз логи
Сканер ДрВеб пролечил/удалил что мог. Есть подозрение что не все.
Поглядите плиз логи
Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('!brastk.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys',''); QuarantineFile('c:\windows\system32\stacsv.exe',''); QuarantineFile('c:\documents and settings\Пользователь\application data\sdra64.exe',''); QuarantineFile('c:\program files\usb disk win98 driver\res.exe',''); QuarantineFile('karna.dat',''); QuarantineFile('c:\windows\system32\karna.dat',''); QuarantineFile('c:\windows\karna.dat',''); DeleteFile('karna.dat'); DeleteFile('c:\windows\system32\karna.dat'); DeleteFile('c:\windows\karna.dat'); DeleteFile('c:\documents and settings\\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\application data\sdra64.exe'); DeleteFile('!brastk.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','brastk'); DeleteFile('csrcs.exe'); ExecuteWizard('TSW', 2, 2, true); SetAVZPMStatus(True); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
The worst foe lies within the self...
Карантин прикрепил.
Новые логи:
Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.
Восстановление системы: включено -- не отключено, почему?
Лечится так можно долго.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('karna.dat',''); QuarantineFile('C:\Program Files\USB Disk Win98 Driver\Res.EXE',''); QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\sdra64.exe',''); DeleteService('kbd'); QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys',''); QuarantineFile('c:\documents and settings\Пользователь\application data\sdra64.exe',''); QuarantineFile('c:\program files\usb disk win98 driver\res.exe',''); DeleteFile('c:\program files\usb disk win98 driver\res.exe'); DeleteFile('c:\documents and settings\Пользователь\application data\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys'); DeleteFile('C:\Documents and Settings\Пользователь\Application Data\sdra64.exe'); DeleteFile('C:\Program Files\USB Disk Win98 Driver\Res.EXE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','USB Storage Toolbox'); DeleteFile('karna.dat'); DeleteFile('C:\WINDOWS\system32\karna.dat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 ).
Hекоторых записей может не оказаться - это нормально.
3.Повторить логиКод:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Documents and Settings\Пользователь\Application Data\sdra64.exe, O20 - AppInit_DLLs: karna.dat O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
The worst foe lies within the self...
Восстановление отключил. Сорри что сразу не сделал
логи готовы
Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.
Вот теперь удалилось.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Т.е. теперь все? Больше "гадостей" нет?
Чего хоть было чтоб понять как избежать в будущем, а то товарищ-владелец ПК серфит по инету много, где попало. Учетка ограничена (пользователь). Стоит ДрВеб офицальный и регулярно-обновляемый.
Заплатки регулярно ставятся?
Вот чего нет того нет
Пошел хоть СП3 накачу.
Всем спасибо !
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\пользователь\application data\sdra64.exe - Trojan-Spy.Win32.Zbot.zee ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Gen:Trojan.Heur.Zbot.AmZ@b0fkVxj, AVAST4: Win32:Fasec [Trj] )
- c:\program files\usb disk win98 driver\res.exe - Trojan.Win32.Patched.bz ( DrWEB: Win32.Kibik, BitDefender: Trojan.Generic.436948, NOD32: Win32/Patched.AG virus, AVAST4: Win32:Patched-GS [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Сергей Ю., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.