AVZ и Hijakthis не запускаются, avz запустил только с ключом ag=y. На этот форум зашёл с другой оси, на XP сюда не пускает. Выкладываю логи.
AVZ и Hijakthis не запускаются, avz запустил только с ключом ag=y. На этот форум зашёл с другой оси, на XP сюда не пускает. Выкладываю логи.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\Program Files\QIP Infium\Profiles\240420421\RcvdFiles\Shadow_340589251\N479\BC2\pbsetup.zip',''); QuarantineFile('C:\WINDOWS\system32\niwjgc.exe',''); QuarantineFile('C:\WINDOWS\system32\9800424e.exe',''); QuarantineFile('C:\WINDOWS\system32\68a30177.exe',''); DeleteFile('C:\WINDOWS\system32\9800424e.exe'); DeleteFile('C:\WINDOWS\system32\niwjgc.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Спасибо за помощь. Вот логи
Последний раз редактировалось S2jet; 22.08.2010 в 23:48.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\68a30177.exe',''); DeleteFile('C:\WINDOWS\system32\68a30177.exe'); DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true); DeleteDirectory('C:\Program Files\Common Files\wm'); DeleteFile('C:\Program Files\Common Files\keylog.txt'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог RSIT
Логи RSIT
Больше подозрительного нет.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Большое спасибо. Ещё хотелось бы узнать, что подцепил?
можно посмотреть тут
Последний раз редактировалось polword; 23.08.2010 в 00:48.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\68a30177.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.427580, AVAST4: Win32:MalOb-DS [Cryp] )
Уважаемый(ая) S2jet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.