-
Full Member
- Вес репутации
- 63
зоопарк троянов
проверка др.вебом выдала наличие:
trojan.perflog.30
trojan.perflog.31
vbs.psyme.377
trojan.downloader.21898
trojan.NtRootkit.218
trojan.NtRootkit.219
trojan.spambot
trojan.sklog
одни лежали в кэше инет эксплорера (кэш почищен), другие в темповых папках (тоже очищены, но два файла не удаляются)
выполнить "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" не получилось, т.к. авз почему-то перестала корректно работать (не отображается перечень скриптов).
Кроме того, как вернуть в прежнее состояние раздел реестра notify? импорт ветки с другого компа не помогает
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@Rogoff
Пофиксите
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\0F8E~1\LOCALS~1\Temp\winlogon.exe
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Art Plus\Wallpaper5\wallpaper.exe','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\DOCUME~1\0F8E~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
QuarantineFile('?','');
BC_DeleteFile('C:\DOCUME~1\0F8E~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('?');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин по правилам и сделайте новые логи.
Последний раз редактировалось Rene-gad; 22.05.2007 в 14:39.
Причина: @Bratez TNX
-
-
Я бы заново перекачал авз , так быть не должно.
-
-
Full Member
- Вес репутации
- 63
Сообщение от
drongo
Я бы заново перекачал авз , так быть не должно.
авз пришлось запустить в безопасном режиме. Строки пофиксены, скрипт выполнен. Авз в обычном режиме стала нормально работать. Карантин закачан, логи прилагаются.
По поводу раздела HCLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify
вернул его назад. Но теперь не работает сеть и в диспетчере задач сетевые платы всё с восклицательными знаками. Может разрешений на раздел Notify добавить? Я поставил system все разрешено + создатель-вледелец все разрешено.
Последний раз редактировалось Rogoff; 31.07.2007 в 06:32.
-
@ Rogoff
У Вас был пинч, пришло время менять на все пароли.
Пришлите полученный карантин по ссылке вверху.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Full Member
- Вес репутации
- 63
я ж его уже закачивал. Закачал еще раз.
Файл сохранён как 070524_044033_virus_4654df01b8c24.zip
Размер файла 1529708
MD5 3dc5db8cad15d2f9f79ad2dbccd4cb47
система уже чистая?
Последний раз редактировалось Rogoff; 24.05.2007 в 04:50.
-
Full Member
- Вес репутации
- 63
на всякий случай напоминаю про эту тему и про отправленный карантин
-
winlogon.exe из директории Temp - Virus.Win32.Grum.f
wallpaper.exe - чистый.
Больше в карантин ничего не попало. Надеюсь, что скрипт вирус удалил.
Еще раз напоминаю о необходимости смены паролей. Они уже стали известны другим людям.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-