Был найден небольшой зверинец, вроде полечил, но не уверен что до конца, потому как проблемы с инетом переодически вылезают опять.
Проходился AVZ и NOD32
Printable View
Был найден небольшой зверинец, вроде полечил, но не уверен что до конца, потому как проблемы с инетом переодически вылезают опять.
Проходился AVZ и NOD32
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\time.bat','');
QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe','');
QuarantineFile('D:\WINNT\system32\HOLIDA~1.SCR','');
QuarantineFile('d:\winnt\system32\msvcrtd.exe','');
DeleteFile('d:\winnt\system32\msvcrtd.exe');
ClearHostsFile;
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Прислал
Файл сохранён как 070710_184934_virus_46939c7e5ec74.zip
Размер файла 357772
MD5 4364f19a7e8b672bc518261d858c9511
msvcrtd.exe - [B]Backdoor.Win32.Agent.alm[/B]
Этот файл уже удалили,проблема осталась?
Повторите логи
Файл из каталога исчез, проблемы тоже пока не проявлялись, но активно компом будут пользоваться завтра.
Логи повторяю.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe','');
QuarantineFile('D:\WINNT\svchost32.exe','');
DeleteFile('D:\WINNT\svchost32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Карантин пуст...
Повторите логи.
Повторяю
time.bat и sysmon.exe сами ставили в автозагрузку?
[size="1"][color="#666686"][B]Добавлено через 12 минут[/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('D:\WINNT\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('D:\WINNT\SYSTEM\Mra.EXE','');
DeleteFile('D:\WINNT\Downloaded Program Files\popcaploader.dll');
DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".
[QUOTE=Maxim;122031]time.bat и sysmon.exe сами ставили в автозагрузку?
[/QUOTE]
time.bat синхронизирует время при загрузке (net time \\ws2 /set /yes)
А вот что такое sysmon.exe - не знаю, и в автозагрузке его не видно...
Скрипт прогоню чуть позже, когда рабочий день закончится.
Кстати, файла sysmon.exe в каталоге D:\WINNT\System32\sysmon\ нету, по крайней мере обычными средствами он не виден...
Так что его, видимо, тоже надо в карантин?
[size="1"][color="#666686"][B]Добавлено через 1 час 3 минуты[/B][/color][/size]
Закачал карантин
Файл сохранён как 070711_180929_virus_4694e4993ad3e.zip
Размер файла 337989
MD5 e28debdb3748ee75472f568f063a83c0
Файл чистый.
[size="1"][color="#666686"][B]Добавлено через 54 минуты[/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrFile('D:\WINNT\system32\sysmon\sysmon.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.puh.ru/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe[/CODE]
Если после скрипта что-то попадет в карантин, пришлите по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Карантин пустой, логи прикладываю.
В HijackThis последней строки
O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
не было, все остальные пофиксил.
Сделайте поиск [B]sysmon.exe[/B] при помощи AVZ--сервис-- поиск файлов на диске и если найдётся, то пришлите его по правилам.
sysmon.exe не нашелся. Каталог в котором он лежал спокойно удалился.
Сделал поиск по sysmon.* нашлись с расширениями txt, hlp, chm, ocx, думаю это не то, это виндовые.
Выполните
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SysCleanAddFile('sysmon.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
повторите логи.