Доброго времени. Поглядите пож-та логи , в системе вири, drweb в безопасном их не видит.
Доброго времени. Поглядите пож-та логи , в системе вири, drweb в безопасном их не видит.
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteWizard('TSW', 2, 2, true); ClearQuarantine; QuarantineFile('C:\Documents and Settings\bazav.ITS.000\ie_updates3r.exe',''); DeleteService('Google Online Services'); QuarantineFile('srv.exe',''); DeleteService('MSIServerImapiService'); DeleteService('NetDDEWmiApSrv'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); QuarantineFile('C:\RECYCLER\S-1-5-21-1555891801-4523773035-657584735-1441\sysdate.exe',''); QuarantineFile('c:\windows\system32\msrx.exe',''); QuarantineFile('c:\windows\system32\basexsro32.dll',''); DeleteFile('c:\windows\system32\basexsro32.dll'); DeleteFile('c:\windows\system32\msrx.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1555891801-4523773035-657584735-1441\sysdate.exe'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('srv.exe'); DeleteFile('C:\Documents and Settings\bazav.ITS.000\ie_updates3r.exe'); BC_ImportAll; ExecuteSysClean; Executerepair(6); Executerepair(11); BC_Activate; RebootWindows(true); end.
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
P.S. Файл hosts сами правили?
файл hosts сами не правили
приладываю новые логи
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
-Выполните скрипт:
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\basearo32.dll'); DeleteFile('C:\WINDOWS\system32\basefgaec32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(11); SetAVZPMStatus(True); RebootWindows(true); end.
После перезагрузки:
- Очистите файл hosts.
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
прикладываю новыве логи
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
новое устройство не появилось
Удалить в MBAM
Повторите лог полного сканирования MBAM.Код:Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> No action taken. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.163 85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e39c704f-f365-4be0-85e9-eb5df3da190d}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.163,85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.163 85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{e39c704f-f365-4be0-85e9-eb5df3da190d}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.163,85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.163 85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{e39c704f-f365-4be0-85e9-eb5df3da190d}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.163,85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.163 85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{e39c704f-f365-4be0-85e9-eb5df3da190d}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.163,85.255.112.176 -> No action taken. Заражено папок: C:\Program Files\Video ActiveX Access (Trojan.Zlob) -> No action taken. C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken. Заражено файлов: C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\basevtuua32.dll (Trojan.Downloader) -> No action taken. C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken. C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken. C:\WINDOWS\totacon.config (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
извините что так позно , повторяю логи МВАМ
Последний раз редактировалось bazav; 11.10.2010 в 15:07.
Жалобы есть?
спс , вроде проблем пока нету))
думаю что тему можно закрыть
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\basearo32.dll - Trojan.Win32.Subsys.gen ( BitDefender: Trojan.Agent.AGKK )
- c:\windows\system32\basefgaec32.dll - Trojan.Win32.Subsys.gen ( BitDefender: Trojan.Agent.AGKK )
- c:\windows\system32\basexsro32.dll - Trojan.Win32.Subsys.gen ( BitDefender: Trojan.Agent.AGKK, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) bazav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.