Проверка после заражения.

Printable View

29.10.2011, 22:50
Andran

Вложений: 3

Проверка после заражения.

Проверьте пожалуста логи. Был вирус блокировки компьютера.
29.10.2011, 22:51
Info_bot

Уважаемый(ая) [B]Andran[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.10.2011, 23:31
Techno

[URL="http://dougknox.com/xp/fileassoc/xp_regfile.zip"]Восстановите ассоциацию reg-файлов[/URL] (скачайте и запустите)

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
31.10.2011, 00:22
Andran

Вложений: 1

Лог полного сканирования MBAM.
31.10.2011, 02:09
Nikkollo

Временно выгрузите/отключите антивирус/файрволл.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe','');
DeleteFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe');
QuarantineFile(':\ANNA\2008-2009\tsnoutvorennya_pdruchnik_onlayn.rar.exe','');
QuarantineFile('d:\downloads\Program\rar recovery toolbox 1.1.8.17 portable\portable recovery toolbox for rar 1.1.8.17.exe','');
QuarantineFile('d:\RECYCLER\s-1-5-21-725345543-2000478354-1177238915-500\Dd33.exe','');
DeleteFile('d:\RECYCLER\s-1-5-21-725345543-2000478354-1177238915-500\Dd33.exe');
QuarantineFile('c:\documents and settings\admin\application data\igfxtray.dat','');
DeleteFile('c:\documents and settings\admin\application data\igfxtray.dat');
QuarantineFile('e:\recycler\s-1-5-21-725345543-2000478354-1177238915-500\de73.4\crack melomania 1.8.4\patch.exe','');
DeleteFile('e:\recycler\s-1-5-21-725345543-2000478354-1177238915-500\de73.4\crack melomania 1.8.4\patch.exe');
QuarantineFile('e:\recycler\s-1-5-21-725345543-2000478354-1177238915-500\de74.4\crack melomania 1.8.4\patch.exe','');
DeleteFile('e:\recycler\s-1-5-21-725345543-2000478354-1177238915-500\de74.4\crack melomania 1.8.4\patch.exe');
ExecuteWizard('SCU',2,2,true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки снова временно выгрузите/отключите антивирус/файрволл
и выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
После этого включите антивирус/файрволл.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Сделайте заново лог MBAM и приложите в теме.
01.11.2011, 01:41
Andran

Вложений: 2

Логи сделал. Карантин выслал.
01.11.2011, 08:51
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Wpdfts.ps','');
DeleteFile('C:\Program Files\Common Files\Wpdfts.ps');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','%System%\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- повторите лог [B]virusinfo_syscheck.zip[/B]‎.

Что с проблемой?
01.11.2011, 20:52
Andran

Вложений: 1

Карантин выслал. Логи сделал.
01.11.2011, 21:18
Techno

Извините, ошибся немного:)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','%SystemRoot%\System32\srvsvc.dll');
end.[/CODE]

Перезагрузите компьютер.

- повторите лог [B]virusinfo_syscheck.zip[/B]‎.

Проблемы какие-нибудь остались?
01.11.2011, 23:50
Andran

Вложений: 1

Всё сделал. Пока вроде всё нормально, только грузится долго, хотя в атозагрузке не так много чего.
02.11.2011, 10:12
Techno

Ничего необычного в логах нет.
03.11.2011, 10:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\wpdfts.ps - [B]Trojan.Win32.Rozena.hnr[/B] ( DrWEB: Trojan.MulDrop2.62840, BitDefender: Trojan.Drooper.Meteit.A, AVAST4: Win32:Meteit [Drp] )[*] d:\\recycler\\s-1-5-21-725345543-2000478354-1177238915-500\\dd33.exe - [B]Hoax.Win32.ArchSMS.hqjc[/B] ( DrWEB: Tool.SMSSend.54, AVAST4: Win32:Malware-gen )[/LIST][/LIST]