Посмотрите пожалуйста.
Printable View
Посмотрите пожалуйста.
1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
QuarantineFile('usbmngr.exe','');
QuarantineFile('usb_drv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8106801331-6251790400-382066848-9338\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('c:\windows\jjdrive32.exe','');
DeleteFile('C:\WINDOWS\usbmngr.exe');
DeleteFile('C:\WINDOWS\usb_drv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8106801331-6251790400-382066848-9338\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFile('c:\windows\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Bus device');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows USB Serivce');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N32P');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новые логи.
выполнил
1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Выполните этот скрипт в AVZ: [url]http://df.ru/~kad/ScanVuln.txt[/url]
После его выполнения в подпапке log паки с AVZ будет сформирован отчёт avz_log.txt - приложите его к своему следующему сообщению.
4) Сделайте новый лог virusinfo_syscheck.zip.
При загрузке карантина пишет, что такой файл уже есть, я переименовал его, все равно пишет тоже самое--это правильно? В остальном все выполнил.
В логе virusinfo_syscheck.zip чисто.
Устрините все эти уязвимости:
[CODE]Поиск критических уязвимостей
Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS09-028.mspx
Установите Internet Explorer 8
http://www.microsoft.com/rus/windows/internet-explorer/
Уязвимость в элементе ActiveX делает возможным удаленное выполнение кода
http://www.microsoft.com/rus/technet/security/bulletin/MS09-055.mspx
Уязвимости в Adobe Flash Player для Internet Explorer
http://get.adobe.com/flashplayer
Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
http://get.adobe.com/flashplayer/otherversions
Установлен Adobe Acrobat Reader версии 8.1.2. Необходимо обновить его до версии 8.1.7
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows[/CODE]
После этого сделайте новый отчёт avz_log.txt и приложите его к своему следующему сообщению.
Спасибо, по поводу обновления системы не получится т.к. компьютер соседский пусть сам решает.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - [B]Trojan.Win32.Buzus.cqit[/B] ( DrWEB: Trojan.Spambot.6388, BitDefender: Trojan.Generic.2810521, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen )[*] c:\recycler\s-1-5-21-8106801331-6251790400-382066848-9338\wmfcgr.exe - [B]Net-Worm.Win32.Kolab.erh[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2814970, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Patched-JZ [Trj] )[*] c:\windows\jjdrive32.exe - [B]Net-Worm.Win32.Kolab.feo[/B] ( DrWEB: Trojan.Inject.3914, BitDefender: Worm.Generic.103227, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wshost32.exe - [B]Trojan.Win32.Buzus.conk[/B] ( DrWEB: Trojan.DownLoad.41920, BitDefender: MemScan:Adware.BrowseIT.A, AVAST4: Win32:Rimecud-E [Wrm] )[/LIST][/LIST]