Довольно странная зараза :) прошу помощи у профи. Логи прилагаю пока не все так как последний делается очень долго. Некий саундмикс)
Printable View
Довольно странная зараза :) прошу помощи у профи. Логи прилагаю пока не все так как последний делается очень долго. Некий саундмикс)
1.нужно 3 лога, почему-то насчитал больше ;)
2.определиться с антивирусами. стоит старый каспер и дрвеб.
нужен 1 антивирус последней версии.
3.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\Documents and Settings\ALL\Шаблоны\WowTumpeh.com','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\dfrg.msc','');
QuarantineFile('C:\Documents and Settings\ALL\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DeleteFile('C:\Documents and Settings\ALL\Шаблоны\WowTumpeh.com');
DeleteFile('C:\Documents and Settings\ALL\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(13);
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12118[/url]
4. Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code] F2 - REG:system.ini: Shell=[/code]
5.обновить базы АВЗ
6.Новые логи сделать
так...
был доктор веб... снести его нормально не получилось, снес регклинером видимо не до конца... Поставил 5-ку каспер потому что машина слабая наврятли 6-ку потянет...
Срипты выполнил все пофиксил, файл карантина залил "Файл закачан, спасибо!".
[QUOTE]Результат загрузки
Файл сохранён как 070902_050421_virus_46da8aa5672b4.zip
Размер файла 12282
MD5 38315dba9657650bd5b8134234a6ba9e
Файл закачан, спасибо![/QUOTE]
Логи щас повторю...
А четыре лога эт с форума каспера привычка)
Последняя 7-ка ;)
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
1.[url]http://wiki.drweb.com/index.php/Очистка_машины_от_некорректно_удаленного_Dr.Web®[/url]
2.касперский удалить, старая версия не нужна . 7 версия менее ресурсоёмка чем 5ка . Так что если 5ка работает, то и 7ка будет ;)
3.только затем делать логи.
повторяю логи
1. Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\soundmix.exe');
BC_DeleteFile('C:\WINDOWS\system32\soundmix.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
2. Пофиксить:
[QUOTE]O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe[/QUOTE]
3. Выложить новый лог hijackthis после перезагрузки.
это уже после новых логов?
Да.
вот хиджак... Вроде все чисто теперь. Огромное спасибо! :D;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mssrv32.exe - [B]Trojan-Downloader.Win32.Small.fjq[/B] (DrWEB: Trojan.MulDrop.8347)[/LIST][/LIST]