Продолжение истории топика 71844
Прошло 3 суток с момента излечения от вируса "СМС"
http://virusinfo.info/showthread.php?t=71844
5 минут назад на втором ноутбуке (который и был заражен "СМС" ) самопроизвольно открылось окошко "Мои Документы".
Это недобрая тема, так как в прошлый раз Мои Документы тоже вылезали.
Я сразу проверил Диспетчер Задач - он снова заблокировался
Какие мои действия?
Имею ввиду делать ли мне полную проверку ноута в безопасном режиме, или сразу логи выслать ?
Последний раз редактировалось Skorii; 23.02.2010 в 17:02. Причина: Добавил текст
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добавил логи
Подскажите пожалуйста что дальше сделать!
П.С. Создался файл virusinfo_cure.zip - весит 11 мб
Последний раз редактировалось Skorii; 18.06.2010 в 11:17.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:F2 - REG:system.ini: Shell=explorer.exe,user32.exe
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('F:\Portable\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe',''); QuarantineFile('e:\docume~1\admin\locals~1\temp\kysh.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Все сделал
quarantine.zip залил
логи сделал
П.С. Диспетчер все еще заблокирован.
Файлы md.exe на дисках остались.
Последний раз редактировалось Skorii; 12.08.2010 в 19:38.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('F:\Portable\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe'); DeleteFile('e:\docume~1\admin\locals~1\temp\kysh.exe'); DeleteFileMask('E:\Program Files\AskBarDis', '*.*', true); DeleteDirectory('E:\Program Files\AskBarDis'); DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}'); DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 51 минуту
- удалите их все, какие найдетеСообщение от Skorii
Последний раз редактировалось polword; 24.02.2010 в 11:32. Причина: Добавлено
скрипт запустил
логи новые сделал
Последний раз редактировалось Skorii; 12.08.2010 в 19:38.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('E:\WINDOWS\system32\msdtc.exe',''); QuarantineFile('E:\WINDOWS\system32\wuauclt.exe',''); QuarantineFile('E:\WINDOWS\system32\sfcfiles.dll','') RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
что с проблемами, с диспетчером?
Карантин загрузил
Диспетчер разблокировался, Спасибо!
Из проблем....пока вроде все в порядке.
Теперь только страшно, что снова появится вирус
Пожалуйста!!
вот это
- надо обновитьInternet Explorer v7.00
Необходимо :
- Установить Internet-Explorer 8.(даже если Вы его не используете)
+ поставить все последние обновления системы Windows - тут
и боязни должно стать немного меньше!!!
IE обновил.
обновления ХР предлагает NET FrameWork обновить. Надо? Вроде на безопасность не влияет.
На .Net тоже обновления безопасности имеются.
а, ок. Спасибо, обновлю.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- e:\docume~1\admin\locals~1\temp\kysh.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Winlock.179, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Skorii, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
