-
Junior Member
- Вес репутации
- 62
Продолжение истории топика 71844
Прошло 3 суток с момента излечения от вируса "СМС"
http://virusinfo.info/showthread.php?t=71844
5 минут назад на втором ноутбуке (который и был заражен "СМС" ) самопроизвольно открылось окошко "Мои Документы".
Это недобрая тема, так как в прошлый раз Мои Документы тоже вылезали.
Я сразу проверил Диспетчер Задач - он снова заблокировался
Какие мои действия?
Имею ввиду делать ли мне полную проверку ноута в безопасном режиме, или сразу логи выслать ?
Последний раз редактировалось Skorii; 23.02.2010 в 17:02.
Причина: Добавил текст
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
Добавил логи
Подскажите пожалуйста что дальше сделать!
П.С. Создался файл virusinfo_cure.zip - весит 11 мб
Последний раз редактировалось Skorii; 18.06.2010 в 11:17.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=explorer.exe,user32.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('F:\Portable\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe','');
QuarantineFile('e:\docume~1\admin\locals~1\temp\kysh.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 62
Все сделал
quarantine.zip залил
логи сделал
П.С. Диспетчер все еще заблокирован.
Файлы md.exe на дисках остались.
Последний раз редактировалось Skorii; 12.08.2010 в 19:38.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('F:\Portable\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe');
DeleteFile('e:\docume~1\admin\locals~1\temp\kysh.exe');
DeleteFileMask('E:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('E:\Program Files\AskBarDis');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 51 минуту
Сообщение от
Skorii
Файлы md.exe на дисках остались.
- удалите их все, какие найдете
Последний раз редактировалось polword; 24.02.2010 в 11:32.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 62
скрипт запустил
логи новые сделал
Последний раз редактировалось Skorii; 12.08.2010 в 19:38.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('E:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('E:\WINDOWS\system32\sfcfiles.dll','')
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
что с проблемами, с диспетчером?
-
-
Junior Member
- Вес репутации
- 62
Карантин загрузил
Диспетчер разблокировался, Спасибо!
Из проблем....пока вроде все в порядке.
Теперь только страшно, что снова появится вирус
-
Пожалуйста!!
вот это
- надо обновить
Необходимо :
- Установить Internet-Explorer 8.(даже если Вы его не используете)
+ поставить все последние обновления системы Windows - тут
и боязни должно стать немного меньше!!!
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
polword
Пожалуйста!!
вот это
- надо обновить
Необходимо :
- Установить
Internet-Explorer 8.(даже если Вы его не используете)
+ поставить все последние обновления системы Windows -
тут
и боязни должно стать немного меньше!!!
IE обновил.
обновления ХР предлагает NET FrameWork обновить. Надо? Вроде на безопасность не влияет.
-
На .Net тоже обновления безопасности имеются.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
pig
На .Net тоже обновления безопасности имеются.
а, ок. Спасибо, обновлю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- e:\docume~1\admin\locals~1\temp\kysh.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Winlock.179, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Malware-gen )
-