Вирус есть?

Printable View

04.05.2009, 10:12
putilova

Вирус есть?

Здраствуйте! Подскажите пожалуйста есть ли в данных логах вирус, avz нашел Dialer.win32.Agent.b - успешно удален, также на этом компьютере выходило от avast сообщение о руките.
04.05.2009, 10:19
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=45072[/url]).
Сделайте новые логи в нормальныом режиме.
06.05.2009, 05:28
putilova

Все сделала как написано. Присылаю логи.В карантине нечего нет. Rootkit похоже так и весит. Помогите, а то на этом компьютере клиент банк стоит.
06.05.2009, 05:58
putilova

Cтал постояно появлться поиск неизвестного оборудования.
06.05.2009, 08:47
Bratez

Ничего подозрительного в логах не видно.

Выполните в AVZ стандартный скрипт #6. Если неопознанное "оборудование" опять появится, попробуйте просто удалить его в Диспетчере устройств.

Рекомендуется установить SP3 и последующие обновления.
06.05.2009, 11:04
putilova

А то что в логах virusinfo_syscheck есть такие записи - это не страшно?

C:\WINDOWS\System32\Drivers\aswSP.SYS
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\system32\DRIVERS\CProCtrl.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\Program Files\XemiComputers\Active Desktop Calendar\MouseHook.dll
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на KeyLogger Подозрение на Keylogger или троянскую DLL
06.05.2009, 11:10
Bratez

Не страшно, это легитимные программы.