Комп рабочий, для интернета. Т.е. этот камп уже не вещь - лазят все кому не поподя.
Стоит лицензионный каспер KAV 9 - умер (не определяет даже авторан.инф)
Курейт нашел 5 шт, АВЗ еще н шт.
Вообщем поможите чем можите.
Printable View
Комп рабочий, для интернета. Т.е. этот камп уже не вещь - лазят все кому не поподя.
Стоит лицензионный каспер KAV 9 - умер (не определяет даже авторан.инф)
Курейт нашел 5 шт, АВЗ еще н шт.
Вообщем поможите чем можите.
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49239[/url]).
Сделайте новые логи.
+ [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: cryptlnk - C:\WINDOWS\[/CODE]
Файл сохранён как090703_180452_virus_4a4e10047ea27.zipРазмер файла25322MD5155303c63dbdf853eb0370b3ca523445
После выполнения 1-го скрипта загрузился только со второго раза
Первый раз завис перед появлением рабочего стола.
Пофиксил, правда уже после выполнения скриптов и отправки вам.
До этого компа доберусь только в понедельник, напоминаю о себе только во избежании автоудаления присланного карантина (предполагаю что авто чистка на сервере есть)
Заразы больше не видно.
Надеюсь, проблем больше нет?
Рекомендуется установить SP3 + последующие обновления.
Есть вопрос по поводу файла 'C:\Program Files\svchost.exe');
Не уверен в том что это не вирусня о_0 !
С нетом по лучше, каспер вроде ожил(автораны с флешек удалять начал ;-) )
Общий тупизм системы остался :-(
Ваш C:\Program Files\Microsoft Common\svchost.exe - [B]Worm.Win32.AutoRun.arau[/B].
(Настоящий svchost.exe живет в папке C:\Windows\System32).
[QUOTE]Общий тупизм системы остался [/QUOTE]
Причины этого видимо не связаны с вредоносными программами.
Может, перегревается?
Жесткий диск посмотрите...
Когда я писал адрес я не ошибся,
'C:\Program Files\svchost.exe' не в Microsoft Common а в Program Files
Оживший каспер поставил на полную проверку, начал находить C:\WINDOWS\system32\sfcfiles.dll - Trojan.Win32.Patched.fr
полная проверка сейчас в процессе выполнения в обычном режиме.
Процентах на 60% вылетел каспер закрылся браузер, комп завис. Перегрузился с резета, повторяю полную
[QUOTE=Sergei ya;427582]Когда я писал адрес я не ошибся,
'C:\Program Files\svchost.exe' не в Microsoft Common а в Program Files[/QUOTE]
У вас еще и такой нашелся? Тоже самозванец, 100%.
Дык и я про то же. Он не только нашелся, он и сейчас присутствует. В наглую, причем, даже не скрытый и не системный. Могу прислать карантином на рассмотрение.
Коль каспер вроде ожил, седня дождусь окончания полной проверки (со второго раза думаю не зависнет), сделаю новые логи, пришлю вам, на рассмотрение.
[QUOTE=Sergei ya;427593]Могу прислать карантином на рассмотрение.[/QUOTE]
Да, пришлите пожалуйста.
Файл сохранён как 090706_121429_virus_4a51b265592dd.zip
Размер файла 871
MD5 4705f01376ba1cd4d0e2f5191bd2ae8f
Это обрезок какой-то, размер меньше килобайта... Удалите и забудьте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.arau[/B][/LIST][/LIST]