Не забудьте выполнить скрипт из поста #7 и прислать карантин.
Не забудьте выполнить скрипт из поста #7 и прислать карантин.
Хорошо, с авторанами вопрос закрыт.
Искомый карантин нашел, прошу прощения.
Проверил - там чисто, будем дальше думать.
Последний раз редактировалось Bratez; 20.03.2007 в 13:09.
есть у кого-нибудь ещё идеи?
Сделайте пожалуйста новые логи.
У Вас есть ещё браузер кроме IE? Как Вы сейчас зашли на наш форум?
Посмотрел в карантине autorun.bat
Пытается чего-то вписать в реестр. То, что вписывали лежало в autorun.reg. Теперь его не увидишь.
Если не выходит запустить autorun.bat, то пытается запустить autorun.vbs
Его тоже удалили. Может погорячились?? :-)
windrvNT.sys - VBA32 3.11.2 03.19.2007 Trojan.NtRootKit.131
Он единственный определил.
Такую программу как Folder Lock используете?
Последний раз редактировалось PavelA; 20.03.2007 в 19:32.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
auturun.* удаляли из AVZ, а то тот что с иероглифами может и не удалиться.
Для образования: http://forum.drweb.com/viewtopic.php?t=4494
Про него пишут.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
auturun.* удалил тотал командером делал несколько перезагрузок не появляются (тьфу-тьфу)
В них тоже такая проблема как в IE?Работаю в Опере есть ещё Firefox
в них идеально, их ничего не берёт
Выполните скрипт в AVZ
К следующему сообщению прикрепите файл bclr.log из папки AVZ.Код:begin BC_DeleteSvc('windrvNT'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Запустите AVZ. Сервис - Поиск данных в реестре. Введите "autorun" без каывчек. По окончании поиска сохраните протокол и тоже прикрепите к своему сообщению.
Потом AVZ - Файл - Восстановление системы - пункт №4 - Выполнить отмеченные операции
Последний раз редактировалось Макcим; 20.03.2007 в 21:51.
всё выполнил
кому интересно поглядеть, может визуально кто узнает
Последний раз редактировалось anton_dr; 24.03.2007 в 21:56.
PavelA, Вам пять!
graphh, Запустите повторный поиск как я писал выше. По окночании поиска выберите закладку "Найденные ключи" отметьте
и нажмите удалить отмеченные ключи. Перезагрузитесь.Код:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\AutoRun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\AutoRun\command\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\explore\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\open\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\AutoRun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\AutoRun\command\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\explore\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\open\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\DefaultIcon\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\DefaultIcon\ = D:\Autorun.exe,0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53cc2640-229f-11d9-a3bc-806d6172696f}\_Autorun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53cc2640-229f-11d9-a3bc-806d6172696f}\_Autorun\DefaultIcon\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bff18610-3e29-11da-8158-00e091084a32}\_Autorun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bff18610-3e29-11da-8158-00e091084a32}\_Autorun\DefaultIcon\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\AutoRun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\AutoRun\command\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\explore\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\open\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\AutoRun\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\AutoRun\command\ = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\explore\Command\ = WScript.exe .\autorun.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\open\Command\ = WScript.exe .\autorun.vbs
Выполните скрипт в AVZ
Повторите логи и поиск. Надеюсь это последний этап.Код:begin ExecuteRepair(1); ExecuteRepair(8); RebootWindows(true); end.
Последний раз редактировалось Макcим; 20.03.2007 в 22:52.
Кошмар! Я бы у себя ни когда такого не допустил.кому интересно поглядеть, может визуально кто узнает
Windows многопользовательская система-это раз, запретить в файрволе любую активность для IE-это два и настройки файрвола под пароль-это три Выполняли мои рекомендации?Я же не один на компе работаю, за всеми не уследишь
всё сделал.... проблема осталась
"пофиксите" в HijackThisБольше приципиться не к чемуКод:O4 - Global Startup: BTTray.lnk = ? O9 - Extra button: (no name) - DctMapping - (no file)
Уважаемый(ая) graphh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.