заметила,что плохо загружаются страницы,стало больше идти исходящего трафа, после проверки старой версией AVZ обнаружен нестандартный диспетчер задач, после загрузки стала открываться папка "мои документы".Правда, после проверки пыталась поэкспериментировать-что-то меняла в службах, что-то при помощи AVZ. Как всегда делать по одному не стала, запомнить-дохлый номер, записать-сорри,ночь все-таки-надо побыстрей(говорила мне мама...)Решила погуглить-вышла сюда.Спасибо,что Вы работаете,жду помощи.
прикрепляю логи
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\termsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\XP-BCDF9590.EXE','');
QuarantineFile('C:\Documents and Settings\Валерия\Application Data\mmmpc.exe','');
DeleteFile('C:\Documents and Settings\Валерия\Application Data\mmmpc.exe');
DeleteFile('C:\WINDOWS\system32\XP-BCDF9590.EXE');
RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved-','{49BF5420-FA7F-11cf-8011-00A0C90A8F78}');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=86686).
Сделайте новый лог syscheck (только п.2 раздела Диагностика).
Bratez! После перезагрузки "Мои документы" уже не открылись как до этого; и-нет, вроде пошустрел. Карантин отправлен, не знаю, правильно ли сделала, но Скрипт сбора информации для раздела "Помогите!" virusinfo.info запускала как и в первый раз при подключенном и-нете .Повторный лог прикрепляю. Надеюсь, не очень досаждаю
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- проверьте наличие файла C:\WINDOWS\system32\termsrv.dll, если его нет - восстановите файл из дистрибутива.
polword,спасибо. termsrv.dll есть. Скажите,плиз, восстановление системы и НОД когда включать? А вот эти выдержки из протокола AVZ" winlogon.exe... Записан в автозапуск !!"- убирать из автозапуска? , "Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем"-настраивать что-нибудь?, "к ПК разрешен доступ анонимного пользователя"-с этим что-то делать, службу какую-нибудь отключить?, на локальную сеть не повлияет? Некотрые вопросы отпадают, если почитать http://virusinfo.info/showthread.php?t=30339 Рекомендации после лечения
Последний раз редактировалось lenkor; 29.08.2010 в 23:22.
Да, забыла-я еще здесь читала, что в диспетчере не видно пользователей- у меня это тоже так,что с этим поделать, подскажите,пожалуйста. Ведь говорят, что у каждого индивидуально, или новую тему создавать?
Попробовала ее включить-при запуске NOD ругнулся на
termsrv.dll Win32/Spy.Ursnif.A вирус. На попытку удалить выдал такое сообщение(скрин прикрепляю)
Что-нибудь делать?
Спасибо,Bratez, вот карантин
Прошу простить за то, что попыталась загрузить карантин как вложение-действия опережают мысли
Еще-я уже включила восстановление системы.
Последний раз редактировалось lenkor; 02.09.2010 в 00:22.
Причина: действия опережают мысли
Почему-то при загрузке перестал автоматически стартовать NOD Опять обнаружила нестандартный диспетчер задач ibisov.exe Да,случайно нашла и тот mmmpc.exe-в C:\Documents and Settings\Администратор\Application Data, посоветуете что-нибудь?
Последний раз редактировалось lenkor; 05.09.2010 в 21:16.
Причина: Опять обнаружила...
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Валерия\Application Data\lbisov.exe','');
DeleteFile('C:\Documents and Settings\Валерия\Application Data\lbisov.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Спасибо, Olejah, но на всякий случай хочу уточнить: все перечисленное в посте не выделять к удалению? После процедуры прислать лог как указано в "Удалите в МВАМ"?
Уважаемый(ая) lenkor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: