после avz

Printable View

24.10.2009, 18:04
danko

после avz

посмотрите пожалуйста, не осталось ли чего после лечения.
24.10.2009, 18:11
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\calck.exe','');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\WINDOWS\system32\XDva244.sys','');
DeleteService('XDva244');
QuarantineFile('C:\DOCUME~1\ТАТЬЯНА\LOCALS~1\Temp\bfastfao.sys','');
DeleteService('bfastfao');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll','');
QuarantineFile('C:\Documents and Settings\Татьяна\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Татьяна\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll');
DeleteFile('C:\DOCUME~1\ТАТЬЯНА\LOCALS~1\Temp\bfastfao.sys');
DeleteFile('C:\WINDOWS\system32\XDva244.sys');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\system32\calck.exe');
DeleteFileMask('C:\Documents and Settings\Татьяна\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Татьяна\Application Data\CMedia');
DeleteFileMask('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Удалите задания в [B]Планировщике заданий[/B]

Сделайте новые логи
24.10.2009, 19:00
danko

повторные логи

повторные логи
24.10.2009, 19:11
thyrex

[QUOTE='thyrex;492621']Удалите задания в Планировщике заданий[/QUOTE]Выполняли? Вряд ли

C:\Program Files\Meitu\XiuXiu\XiuXiu.exe Вам известен этот файл?
24.10.2009, 19:20
danko

сто лет его не видел, а где он живет? ;)
24.10.2009, 19:31
thyrex

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\Program Files\Meitu\XiuXiu\XiuXiu.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[COLOR="Red"][B]Дубль-3[/B][/COLOR]
[QUOTE='thyrex;492621']Удалите задания в Планировщике заданий[/QUOTE]
24.10.2009, 19:47
danko

после выполнения скрипта карантин пуст, нашел ручками линк в папке
c:\Documents and Settings\Татьяна\Application Data\Microsoft\Internet Explorer\Quick Launch\
удалил.
все?

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

C:\Program Files\Meitu\XiuXiu\XiuXiu.exe
такого не вижу

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

в логе avz запись

Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Meitu\XiuXiu\XiuXiu.exe)
Карантин с использованием прямого чтения - ошибка
24.10.2009, 19:48
thyrex

[COLOR="Red"][B][SIZE="5"]Удалите задания в Планировщике заданий[/SIZE][/B][/COLOR]Так видно?
24.10.2009, 20:01
danko

Вы не поняли меня, :), планировщик заданий на машине отключен, как до него добраться, я старый и тупой, если это назначенные задания в стандартных -> служебных, то там пусто.
24.10.2009, 20:05
thyrex

Панель управления - Назначенные задания

После удаления - новые логи
24.10.2009, 20:11
danko

И там пусто,
каюсь, между делом поудалял из назначенных заданий нечто в количестве 22 штук, называлось от at1 до at22? это оно и было?
даты создания у них у всех августом месяцем.
логи щас сделаю
24.10.2009, 21:23
danko

новые логи

новые логи
24.10.2009, 21:49
danko

[B]thyrex[/B], извините за нетерпение, гляньте последние логи
24.10.2009, 21:50
thyrex

[QUOTE='danko;492708'] это оно и было?[/QUOTE]Да, оно

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe','');
ExecuteREpair(9);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новыq лог virusinfo_syscheck.zip
24.10.2009, 22:28
danko

скрипт выполнил карантина нет

скрипт выполнил, карантин не появился
24.10.2009, 22:33
danko

указанный файл действительно существует, хмм...
шлю ручками
попробовал повторно выполнить скрипт, пишет карантин выполнен, а папка карантина не появляется.
24.10.2009, 22:52
thyrex

Теперь в логе порядок

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Присланный файл чист

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Пофиксите в HiJack еще
[CODE]R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - (no file)
O2 - BHO: (no name) - {7E5BE89C-2067-4619-A53D-1EBF363C4370} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Little Fighter 2 Toolbar Helper - {AE90C38C-97CF-4696-B290-C7973DC9675E} - C:\Program Files\Little Fighter 2 Toolbar\v3.3.0.1\Little_Fighter_2_Toolbar.dll (file missing)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - (no file)
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: (no name) - {7E5BE89C-2067-4619-A53D-1EBF363C4370} - (no file)
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)[/CODE]
25.10.2009, 21:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]