Помогите,пожалуйста...
Помогите,пожалуйста...
Последний раз редактировалось BaCbka87; 26.01.2011 в 16:03.
1.Профиксите в HijackThis
2.Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 193.23.126.24 www.vkontakte.ru O1 - Hosts: 193.23.126.24 vkontakte.ru O1 - Hosts: 193.23.126.24 vk.com O1 - Hosts: 193.23.126.24 www.vk.com O1 - Hosts: 193.23.126.24 www.durov.ru O1 - Hosts: 193.23.126.24 durov.ru O1 - Hosts: 193.23.126.24 my.mail.ru O1 - Hosts: 193.23.126.24 www.my.mail.ru O1 - Hosts: 193.23.126.24 www.loveplanet.ru O1 - Hosts: 193.23.126.24 loveplanet.ru O1 - Hosts: 193.23.126.24 mamba.ru O1 - Hosts: 193.23.126.24 www.mamba.ru O1 - Hosts: 193.23.126.24 www.odnoklassniki.ru O1 - Hosts: 193.23.126.24 odnoklassniki.ru O1 - Hosts: 193.23.126.24 www.google.com O1 - Hosts: 193.23.126.24 google.com O1 - Hosts: 193.23.126.24 www.google.ru O1 - Hosts: 193.23.126.24 google.ru O1 - Hosts: 193.23.126.24 www.google.ua O1 - Hosts: 193.23.126.24 google.ua O1 - Hosts: 193.23.126.24 www.google.kz O1 - Hosts: 193.23.126.24 google.kz O1 - Hosts: 193.23.126.24 www.bing.com O1 - Hosts: 193.23.126.24 bing.com O1 - Hosts: 193.23.126.24 www.yahoo.com O1 - Hosts: 193.23.126.24 yahoo.com O1 - Hosts: 193.23.126.24 www.yandex.ru O1 - Hosts: 193.23.126.24 yandex.ru O1 - Hosts: 193.23.126.24 ya.ru O1 - Hosts: 193.23.126.24 www.ya.ru O1 - Hosts: 193.23.126.24 mail.ru O1 - Hosts: 193.23.126.24 www.mail.ru O1 - Hosts: 193.23.126.24 www.rambler.ru O1 - Hosts: 193.23.126.24 rambler.ru O1 - Hosts: 193.23.126.24 gmail.ru O1 - Hosts: 193.23.126.24 www.gmail.ru O1 - Hosts: 193.23.126.24 www.yandex.com O1 - Hosts: 193.23.126.24 yandex.com O1 - Hosts: 193.23.126.24 www.aport.ru O1 - Hosts: 193.23.126.24 aport.ru O1 - Hosts: 193.23.126.24 wikipedia.org O1 - Hosts: 193.23.126.24 rutracker.org O1 - Hosts: 193.23.126.24 www.daemon-search.com O1 - Hosts: 193.23.126.24 daemon-search.com O1 - Hosts: 193.23.126.24 gogo.ru O1 - Hosts: 193.23.126.24 www.gogo.ru O1 - Hosts: 193.23.126.24 nigma.ru O1 - Hosts: 193.23.126.24 www.nigma.ru O1 - Hosts: 193.23.126.24 msn.com O1 - Hosts: 193.23.126.24 www.msn.com O2 - BHO: URLToolBHO - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file) O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (file missing) (HKCU)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('sywvan'); DeleteService('cjxuvln'); DeleteFile('C:\WINDOWS\system32\01.tmp'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог Gmer
Сделал
Последний раз редактировалось BaCbka87; 26.01.2011 в 16:03.
Почему-то не отсылается файл карантина. Пишет,что данный файл уже загружен
Лог HijackThis прикрепили старый, и вообще он от другой системы по-моему!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\hbhje.dll',''); DeleteFile('C:\WINDOWS\System32\hbhje.dll'); BC_ImportALL; ExecuteSysClean; BC_ServiceKill('kndfkda'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи gmer и HijackThis.
I am not young enough to know everything...
Извините за другой лог HijackThis...
Последний раз редактировалось BaCbka87; 26.01.2011 в 16:03.
Сделайте проверку утилитой TDSSKiller, см. тут:
http://support.kaspersky.ru/viruses/...?qid=208636990.
I am not young enough to know everything...
Был найден и обезврежен один руткит....Что делать дальше???
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторный лог virusinfo_syscheck.zip;
всё установил
Здесь все нормально.
Для верности еще новый лог gmer бы увидеть.
I am not young enough to know everything...
По-ходу,не всё нормально...Gmer заверещал о какой то активности...
чисто
Спасибо большое
Уважаемый(ая) BaCbka87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.