Удалил с помощью AVZ три вируса, которые похоже создавали большой исходящий трафик, но есть подозрение, что не до конца. Проверьте логи, если не трудно. Большое спасибо
Printable View
Удалил с помощью AVZ три вируса, которые похоже создавали большой исходящий трафик, но есть подозрение, что не до конца. Проверьте логи, если не трудно. Большое спасибо
Удалите Yahoo! Toolbar. Слишком много от него мусора.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrFile('C:\WINDOWS\system32\cssrss.exe');
BC_QrFile('C:\WINDOWS\system32\nso12k.sys');
BC_QrFile('C:\WINDOWS\system32\c_437n.exe');
BC_QrFile('C:\WINDOWS\SYSTEM\mraSearch.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM\mraSearch.dll');
BC_DeleteFile('C:\WINDOWS\system32\c_437n.exe');
BC_DeleteFile('C:\WINDOWS\system32\nso12k.sys');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINDOWS\SYSTEM\mraSearch.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Прислал архив Infected - вчера все требуемые файлы были помещены туда и удалены. Яху тулбар удалил. Логи выполнил по новой
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearHostsFile;
end.[/CODE][URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
[/CODE]Повторите логи.
В дополнение еще Выполнить скрипт:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Mstray.exe','');
DeleteFile('C:\WINDOWS\Mstray.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить свежий карантин по ссылке вверху темы.
Логи повторил. mstray.exe не был найден - карантин пустой.
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - [url]http://www.ipix.com/viewers/ipixx.cab-[/url]
вам надо ? Ходят слухи, от этой штуковины только больше рекламы.
обновите hijakthis, ссылка в правилах.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cssrss.exe - [B]Trojan-Downloader.Win32.Agent.bnz[/B] (DrWEB: Trojan.MulDrop.6464)[*] c:\\windows\\system32\\c_437n.exe - [B]Packed.Win32.PolyCrypt.d[/B] (DrWEB: Trojan.Packed.166)[*] c:\\windows\\system32\\nso12k.sys - [B]Trojan-Downloader.Win32.Agent.bnz[/B] (DrWEB: Trojan.NtRootKit.263)[/LIST][/LIST]