-
Junior Member
- Вес репутации
- 56
Обнаружены вредоносные программы.
Добрый день. Существуют подозрения о наличии вредоносных программ. Последние несколько дней проблемы в работе IE8. Жена копирайтер. Подключен сразу к двум провайдерам. Скорость интернета очень низкая но проблема не в канале.
Прошу Вас помочь. Без "адекватной" скорости инэта никак.
Заранее спасибо.
Последний раз редактировалось Кромвель; 23.05.2010 в 12:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я бы сказал доброй ночи
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
F2 - REG:system.ini: Shell=Explorer.exe RUNDLL32.EXE BEF0REGIIAV
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\BSvBT.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\BSvBT.exe
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\bsvbt.exe');
QuarantineFile('c:\windows\system32\drivers\bsvbt.exe','');
DeleteFile('c:\windows\system32\drivers\bsvbt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
-
-
Junior Member
- Вес репутации
- 56
Проблемы пока еще не исчезли.
Последний раз редактировалось Кромвель; 23.05.2010 в 12:37.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Жду дальнейших рекомендаций.
Последний раз редактировалось Кромвель; 23.05.2010 в 12:37.
-
Удалите в MBAM
Код:
Заражено файлов:
C:\Documents and Settings\Даша\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
Больше ничего плохого
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Сделал.
Прошу Вас уточнить некоторые моменты:
- вирусов больше нет???
- восстановление системы можна включать???
- МВАМ можна сносить???
Огромное Вам человеческое спасибо!!!
-
Сообщение от
Кромвель
- вирусов больше нет???
Скажем так: в логах они не засветились
Сообщение от
Кромвель
- восстановление системы можна включать???
Можно
Сообщение от
Кромвель
- МВАМ можна сносить???
Можно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Огромное спасибо. Вы меня уже спасаете не первый раз. Всегда доволен Вашими советами, они реально помогают.
-
Junior Member
- Вес репутации
- 56
Как оказалось проблема не решена... На диске С:\ в корневом каталоге появился файл x7h8m3x7a9l9.ехе. Не прогружается ни один сайт, что-то блокирует браузер. Интернет подключатся только после перезагрузки компа и то не надолго.
Помогите.
Последний раз редактировалось Кромвель; 23.05.2010 в 12:37.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\bsxbt.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\BSxBT.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\BSxBT.exe');
DeleteFile('C:\WINDOWS\Installer\11ed5.msi');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Подозрительный файл в корне диска С: удалите. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось Кромвель; 23.05.2010 в 12:37.
-
-
-
Junior Member
- Вес репутации
- 56
-
В AVZ выполните скрипт:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\BSxBT.exe','');
QuarantineFile('C:\*.exe','');
QuarantineFile('C:\WINDOWS\system32\*.scr','');
DeleteFile('C:\WINDOWS\system32\drivers\BSxBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Последний раз редактировалось миднайт; 21.11.2009 в 03:45.
Причина: add. thnx to Aleksandra =)
-
-
Junior Member
- Вес репутации
- 56
выполнил. карантин я уже присылал и повторно его отправить не возможно. обновлять логи???
Добавлено через 18 минут
на диске С:\ в корневом каталоге файл x7h8m3x7a9l9.ехе перестал появляться, но в предыдущих логах было 4 потенциальных трояна.
Последний раз редактировалось Кромвель; 21.11.2009 в 06:43.
Причина: Добавлено
-
Загрузите карантин. В него должно попасть несколько больше чем обычно. Потом только повторяйте логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось Кромвель; 23.05.2010 в 12:37.
-
Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью AVPTool и повторите логи...
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
а если у меня нет AVPTool и я в принципе Касперским не пользуюсь. у меня стоит McAfee. какие еще могут быть варианты?