Здравствуйте! Подозреваю, что компьютер заражен. CureIt нашел и удалил несколько червей, но AVZ продолжает показывать подозрительное
Спасибо!
Здравствуйте! Подозреваю, что компьютер заражен. CureIt нашел и удалил несколько червей, но AVZ продолжает показывать подозрительное
Спасибо!
Последний раз редактировалось apsm; 07.02.2010 в 22:16.
Здравствуйте! Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\netprotocol.dll',''); QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe',''); TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe'); DeleteFile('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
Сделал
Последний раз редактировалось apsm; 07.02.2010 в 22:16.
Закачайте карантин правильно, а из темы уберите.
Добавлено через 14 минут
Удалите в MBAM
сделайте лог MBAMКод:Заражено модулей в памяти: c:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken. Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражено папок: C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken. C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken. Заражено файлов: C:\Program Files\avz4\Quarantine\2009-09-06\avz00001.dta (Trojan.Preald) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken. C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken. C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken. C:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken. C:\Documents and Settings\user.MIDAS-D277A0A7A\Application Data\NP.sys (Malware.Trace) -> No action taken. C:\WINDOWS\system32\9_exception.nls (Trojan.Tibs) -> No action taken.
Последний раз редактировалось Шапельский Александр; 29.01.2010 в 21:13. Причина: Добавлено
Закачал карантин правильно, в MBAM все удалил.
Прошу прощения!
Последний раз редактировалось apsm; 07.02.2010 в 22:16.
Что с проблемой? Рекомендую обновить Windows 5.1.2600 Service Pack 2 до Windows 5.1.2600 Service Pack 3, возможно потребуется активация, Internet Explorer v6.00 до Internet Explorer v8.00 + установить последние обновления на ОС.
Огромное спасибо! Вроде все теперь в порядке, только смущают строки
Функция kernel32.dlloadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Функция advapi32.dll:SystemFunction035 (620) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[670017CF]
при сканировании AVZ. Это, я так понимаю, HiJackThis? Как лучше, оставить как есть или деинсталлить HiJackThis?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) apsm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.