-
Student (P)
- Вес репутации
- 51
Подозрение на заражение
При попытке воспользоваться локальными сетевыми ресурсами через этот ПК, зависает проводник - причем на всех машинах подсети (на них также при попытке работы в сети). Если эту машину отключить, то все остальные работают в штатном режиме, проблем не замечено. Проверка на вирусы заразы не выявила, но AVZ подозревает заражение - пишет что есть скрытые ветки реестра с подозрительным содержимым...
Прошу Вас помочь разобраться с проблемой, логи прилагаю (согласно "правилам").
Последний раз редактировалось lesnik26; 21.06.2010 в 16:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Закройте все программы кроме AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\byvqnqwoh');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\byvqnqwoh\Parameters');
QuarantineFile(NormalFileName(RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\byvqnqwoh\Parameters', 'ServiceDll')),'');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\byvqnqwoh');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ddgio');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ddgio\Parameters');
QuarantineFile(NormalFileName(RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\ddgio\Parameters', 'ServiceDll')),'');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\ddgio');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\igjnu');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\igjnu\Parameters');
QuarantineFile(NormalFileName(RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\igjnu\Parameters', 'ServiceDll')),'');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\igjnu');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\uygoemoz');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\uygoemoz\Parameters');
QuarantineFile(NormalFileName(RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\uygoemoz\Parameters', 'ServiceDll')),'');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\uygoemoz');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xqowhjvo');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xqowhjvo\Parameters');
QuarantineFile(NormalFileName(RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\xqowhjvo\Parameters', 'ServiceDll')),'');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xqowhjvo');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Student (P)
- Вес репутации
- 51
Вот лог AVZ скрипта ScanVuln.txt .
Повторное выполнение скрипта, после установки фиксов и новых версий софта, уязвимостей не обнаружило.
Скрипт по карантину выполнился без ошибок, но файл не создал - написал попытка карантина при прямом чтении. Перезагрузка повисла на чистом рабочем столе, как будто эксплорер выгрузился и на этом все встало. Ребутнул кнопкой - файла карантина нет.
-
Student (P)
- Вес репутации
- 51
-
Сообщение от
AndreyKa
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Это не заметели?
-
-
Student (P)
- Вес репутации
- 51
В последнем ответе я написал, что выполнил скрипт и по ссылкам из лога установил требуемые KB и свежий софт.
А лог этот отослал т.к. после перезагрузки и повторного выполнения скрипта в папке AVZ/LOG продолжал лежать именно он, хотя AVZ выдал сообщение о том, что уязвимости не обнаружены.
Сейчас удалил из папки LOG все содержимое, еще раз выполнил скрипт - папка LOG пуста.
Сохранил лог вручную, кнопка "сохранить протокол".
-
-
-
Student (P)
- Вес репутации
- 51
На данный момент не могу ответить - системник не в отделе, как проверю, отпишусь.
Заранее огромное спасибо.
-
Student (P)
- Вес репутации
- 51
Проблема решена.
Спасибо!