проверьте, плз...

Printable View

27.06.2007, 14:45
punk_prankster

проверьте, плз...

Проверьте и пропишите лечилку, пожалуйста...

Логи прикрепил...
27.06.2007, 15:00
PavelA

1. Отключить восстановление системы

2. Профиксить в HijackThis:
[CODE]
3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O21 - SSODL: VStorage - {16EF334C-0775-474C-8F5E-03445E076A93} - swmclip.dll (file missing)
[/CODE]

3. Найти через AVZ и прислать через ссылку вверху темы:
[CODE]C:\Program Files\Common Files\Microsoft Shared\Windows Vista Sourcecode.doc.pif
C:\Program Files\Common Files\MSSoap\Binaries\Resources\From me with love.scr
C:\Program Files\Common Files\MSSoap\Binaries\Resources\Saddam Hussein.jpg.exe
C:\Program Files\Common Files\MSSoap\Binaries\Resources\Taliban.pif
C:\Program Files\Common Files\ODBC\Data Sources\anthrax.doc.exe
C:\WINDOWS\Temp\startdrv.exe
arm32.dll
[/CODE]
27.06.2007, 15:00
drongo

В добавок к сообщению Павла, поменять пароли на всё - у вас было пару вариантов пинча.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
QuarantineFile('C:\WINDOWS\system32\Mstray.exe','');
QuarantineFile('C:\WINDOWS\Mstray.exe','');
QuarantineFile('C:\WINDOWS\system32\yes.exe','');
QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
QuarantineFile('C:\WINDOWS\system32\WEB\KI.exe','');
QuarantineFile('C:\WINDOWS\WEB\KI.exe','');
QuarantineFile('C:\WINDOWS\yes.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10666[/url]
[B]boot_copy.log[/B]- из папки AVZ прикрепить к вашему следующему ответу
27.06.2007, 16:03
punk_prankster

сделал все как посоветовали: профиксил и прописал скрипты, выслал карантин, но вот поиск через АВЗ мало что дал: находит только C:\WINDOWS\Temp\startdrv.exe (я его прикрепил последним файлом к карантину). Остальное же через АВЗ не находится, искал через стандартную функцию в Пуске "Найти" - видит это всё в указанных местах...

что делать дальше? логи новые выслать?
27.06.2007, 17:30
punk_prankster

новые логи...
27.06.2007, 17:43
punk_prankster

что делать????!!!! игнор??
27.06.2007, 17:45
Bratez

Не так быстро. Думаем ;)
27.06.2007, 18:03
Bratez

Во-первых, у вас поражение червем Rays, его вылечить с помощью AVZ проблематично, но с этим легко справится любой антивирус. Можно например установить [URL="http://www.kaspersky.ru/trials?chapter=186545207"]пробную версию Касперского 6.0[/URL], обновить базы и сделать полную проверку компьютера.

Во-вторых, виден дроппер C:\WINDOWS\Temp\startdrv.exe, обычно сопутствующий руткиту runtime, а самого руткита не наблюдается.
Тем не менее, выполните такой скрипт:
[code]
begin
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
Rebootwindows(true);
end.[/code]

В-третьих, пофиксите в HijackThis:
[code]
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [RavTimeXP] \WEB\KI.exe
O4 - HKLM\..\Run: [RavTimXP] \Mstray.exe
[/code]

Проделайте вышеозначенное в указанном порядке
и сделайте новые логи.
30.06.2007, 15:02
punk_prankster

Выполнил рекомендации, что еще нужно?
30.06.2007, 16:47
Bratez

Похоже, только скрипт выполнили и больше ничего. Антивируса никакого не видно. Даже строчка с [I](no file)[/I] не пофикшена. Если Касперского не хотите устанавливать, хотя бы скачайте [URL="http://www.drweb.ru/download/1028/"]свежий CureIt[/URL] и сделайте [B][U]полную проверку компьютера[/U][/B], лучше в безопасном режиме. Перед проверкой подключите свои съемные носители (флэшку, мп3-плеер и др.) чтобы они тоже были проверены.
По окончании пофиксите то, что было указано выше.
30.06.2007, 23:16
punk_prankster

Почистился с помощью CureIt, сделал новые логи, но вот когда собираюсь про фиксить тот самый п.3, то не видно в списке тех трех строчек... и еще такой вопрос, после всего лечения карантин удалять?
01.07.2007, 02:56
Bratez

Теперь логи чистые.

Один маленький вопрос: в hosts вот это сами прописывали? -
[code]
127.0.0.1 webmoney.ru
127.0.0.1 www.webmoney.ru
127.0.0.1 arbitrage.webmoney.ru
127.0.0.1 www.arbitrage.webmoney.ru
[/code]
Если нет, сделайте в AVZ Файл - Восстановление системы -
отметьте п.13 и нажмите Выполнить.

Карантин удалите.
01.07.2007, 11:54
punk_prankster

[quote=Bratez;119523]Теперь логи чистые.

Один маленький вопрос: в hosts вот это сами прописывали? -
[code]
127.0.0.1 webmoney.ru
127.0.0.1 www.webmoney.ru
127.0.0.1 arbitrage.webmoney.ru
127.0.0.1 www.arbitrage.webmoney.ru
[/code]
Если нет, сделайте в AVZ Файл - Восстановление системы -
отметьте п.13 и нажмите Выполнить.

Карантин удалите.[/quote]

Встречный вопрос: что значит прописывали в hosts? У меня был на компьютере вэбмани, но я потом его удалил. Сам вручную вроде ничего подобного ни куда не вписывал... Делать таки восстановление с п.13?
01.07.2007, 13:01
Bratez

[QUOTE]Делать таки восстановление с п.13?[/QUOTE]
Сделайте.
01.07.2007, 14:40
punk_prankster

[quote=Bratez;119564]Сделайте.[/quote]

сделал. уже всё?
01.07.2007, 14:54
Bratez

Если вас больше ничего не беспокоит, тогда всё.