Спасибо Грише за решение предыдушей проблемы.
На другой машине случаются частые зависоны, то появляется autorun.inf, Симантек убивает злодеев но зависоны продолжаются.
Логи прилагаются.
Printable View
Спасибо Грише за решение предыдушей проблемы.
На другой машине случаются частые зависоны, то появляется autorun.inf, Симантек убивает злодеев но зависоны продолжаются.
Логи прилагаются.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('kdjzj.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21681[/url]
Это ваш провайдер:
[QUOTE]UkrTeleGroup Ltd.
Mechnikova 58/5 65029 Odessa[/QUOTE]
Повторите логи.
[QUOTE=Гриша;216957]
Это ваш провайдер:
UkrTeleGroup Ltd.
Mechnikova 58/5 65029 Odessa
[/QUOTE]
Нет, не мой.....
Провайдер "СвязьТелеком" Магнитогорское подразделение.
При выпонениии скрипта выдает ошибку "Failed to set data for 'DisplayName'"
АВЗ пишет "Ошибка в работе антируткита [Failed to sent data for 'DisplayName'], шаг [14]". Проверка синтаксиса ошибок не нашла :(
выполните скрипт без строк 2 и 3 ...
пофиксите ...
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E857F1-41E8-4FC7-BEFF-ED3DCE78004E}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
[/code]
[QUOTE=V_Bond;216965]выполните скрипт без строк 2 и 3 ...
пофиксите ...
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E857F1-41E8-4FC7-BEFF-ED3DCE78004E}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
[/code][/QUOTE]
Скрипт выполнился нормально... фикс проведен.... логи прилагаются.
Файл сохранён как 080417_111036_virus_4807767c9b9be.zip
Размер файла 55801
MD5 ed9ee100a4906b159b638b0d399148f2
выполните скрипт ...
[code]
begin
DeleteFile('kdjzj.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...
Прогнал еще раз...
Диски открываются.... авторана нет.... скрытые/системные отображаются нормально.
Логи в аттаче.... Ну и так, невзначай запустил MemTest v.1.70+... Вскрыл машину..... Юзверю произведен массаж сфинктера подручными инструментами без смазки....:D проблема зависонов была в модуле памяти (сплошные errors, да и левая еще, такую я не закупал).
Карантин:
kdjzj.exe-[B]Packed.Win32.Monder.gen[/B]
autorun.inf-[B]Trojan-PSW.Win32.OnLineGames.wgy[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SetAVZGuardStatus(True );
RegKeyParamDel('HKEY_LOCAL_MACHINE ','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ','System ');
DeleteFile('kdjzj.exe');
DeleteFile('C:\WINDOWS\system32\kdjzj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите последний лог.
Лог.
Лог AVZ нужен.
[QUOTE=Гриша;217000]Лог AVZ нужен.[/QUOTE]
Просто у меня уже 22:53...Туплю . :) Лог прилагается.
Сделайте еще раз скрипт из поста №8 я его немного изменил,затем повторите этот же лог.
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Нет оттача,удалите старые логи через "Мой кабинет"=>"Управления вложениями"
Логи.
Теперь чисто,жалобы есть?
Жалоб нет.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.wgy[/B][*] c:\\windows\\system32\\kdjzj.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based)[*] d:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.wgy[/B][/LIST][/LIST]