другой комп
Printable View
другой комп
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\DrWeb_Portable_5.00.3.04220_MultiLang\DrWebPortable.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\c2020Y59.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\newadvsplash.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\Registry.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\System.dll','');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Выполнить скрипт в AVZ.
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/code]
Загрузите карантин согласно правилам.
Сделайте новые логи.
Какой сайт открывается? При каких условиях?
[B]AndreyKa[/B], Про вирус писал [URL="http://virusinfo.info/showpost.php?p=467723&postcount=1"]тут[/URL]:
Ни одна авирпрога (последние с обновлениями касп, дрвеб, нод) не смогла полностью вылечить его.
Нод назвал его как Kryptik.AJT (троян) - когда переходит по адресу 85,131,154,31/~pornicari/kajgana.exe
и Kryptik.AKG (троян) - когда переходит по адресу 85,131,154,31/~pornicari/sock.exe
Конкретнее:
Время от времени (минут через 20-30) запускается браузер (который по умолчанию в системе) и открывается один и тот же сайт с разными страницами (хорошо придумано для раскрутки сайта) www. thenewspedia. com/ index.php/ components/ auto-and-trucks
В папке с темпами создаются файлы (создает вирус) 2 штуки (иногда 4). То могу удалить, то нет. В памяти нигде не могу обнаружить, в автозапусках не вижу.... Как его избавиться не понятно.
Сейчас уже (другой комп) меняется указанный выше сайт с другим (не запоминал какой). Но смысл тот же.
Логи готовлю....
[B]snifer67[/B],
какой файл загружать - quarantine.zip, который вы создали или упаковать самому папку карантина? По умолчанию закидываю ваш (он же без пароля).
Загрузить надо [B]quarantine.zip[/B]
Выполнил. Карантин закачал. Логи приложил.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
[/code]
Больше ничего подозрительного не видно.
Рекомендуется установить SP3 и последующие обновления.
C:\WINDOWS\system32\sfcfiles.dll.BAK - вот это пришлите через карантин.
Логи чисты.Проблемы наблюдаются ?
Пофиксил (лог приложил).
Запрошенный файл выслал.
Пока проблема не наблюдается.
Если в логах больше ничего нету, всем спасибо за помощь.
Установите обновления безопасности для Windows.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]