Здравствуйте!!!
Компьютер несколько раз самопроизвольно перезагрузился. при проверке системы высветилось подозрение на троян.
Printable View
Здравствуйте!!!
Компьютер несколько раз самопроизвольно перезагрузился. при проверке системы высветилось подозрение на троян.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
BC_QrFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\idaw64.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_QrSvc('ICF');
BC_DeleteSvc('ICF');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
[size="1"][color="#666686"][B][I]Добавлено через 9 часов 39 минут[/I][/B][/color][/size]
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\windows\system32\idaw64.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новые логи и приложите их к вашей теме.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Все зловреды детектируются утилитой CureIt. Можно было просто проверить ей компьютер. Лучше брать бета-версию:
[url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url]
Насчет еще раз прислать карантин - отбой.
добрый день!!!
вот новые логи.
один зараженный файл остался.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
BC_QrFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
BC_DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
BC_DeleteSvc('System Scheduler');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12409[/url]
Так же пришлите файл [B]SCBAL.exe[/B] по правилам.
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) [/CODE]
Что из этого вам нужно?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> разрешена потенциально опасная служба TermService (Terminal Services)
>> разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
Уважаемый, Muzzle!
В "цитате" ничего для меня ценного нет, поэтому пофиксить можно все.
вот скрипт который это пофиксит,а остальные рекомендации вы сделали?
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetServiceStart('TermService', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/CODE]
сделала, вот только проблема была с пунктом 2.
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
после того как я это сделала вылезает все время сообщение
НЕ УКАЗАНО ИМЯ dll...
даже после возвращения бекапа, это окно лезет.
Нужен лог HijackThis.
я ранее отправляла логи, после добавления скриптов
могу продублировать, может нужен какой-то другой лог
вроде файлы подцепились, если нет, то сорри
Новенький нужен, после всех действий. Актуальный, так сказать.
вот они!!!
Прошу уточнения: а не написано ли какой Dll не хватает.
В логах чисто, следов заражения не видно.
я напишу чего не хватает, это сообщение появляется при включении компа.
но еще, у меня в карантине лежит файл с подозрением на Dialer.Win32.Generic ...
и семантек все время ссылается на него.
После добавления скриптов два трояновских файла были уничтожены. а этот живее всех живых!!!:?
Карантин загрузить через ссылку вверху, а затем карантин Avz можно почистить.
Вы знаете, я его(этот файл) удаляла через карантин, но при проверке компа на вирусы, он лезет снова.
Этот Ваш SCVal.exe проверил на virustotal.com. Ни одного подозрения.
Можете быть спокойны. :)
Вы меня успокоили:), осталось разобраться с DLL.
к сожалению снесен на компе фотошоп, не могу выслать Вам скрин, поэтому пришлю файл напечатанный
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
Использование: regsvr32[/u] [/s] [/i[:строка_команд]] Dll-файл
/u -Отменяет регистрацию DLL
/s - "Тихий режим; окна сообщения не отображаются
/i - Вызывает DLLInstall, передавая параметром необязательную строку_команд, при использовании с ключом/и вызывает DLLUnIstall
/n - Не вызывает DLLRegisterServer; это может использоваться с ключом /i
и просить нажать ок, окно высвечивается только при включении и перезагрузке
[QUOTE=valeri;134505]
к сожалению снесен на компе фотошоп, не могу выслать Вам скрин[/QUOTE]
Скриншот делается и без всякого специального софта: [url]http://virusinfo.info/showthread.php?t=8577[/url], небольшие корректуры можно сделать с помощью [url]http://irfanview.tuwien.ac.at/[/url] или [url]http://www.getpaint.net/index.html[/url]
это окно сообщения все время лезет при загрузке
Поступим так:
в AVZ Сервис -- Поиск данных по реестру -- набиваем regsvr32 -- затем сохранить Протокол.
Далее Протокол в студию, заговорился, сюда.