Здравствуйте! Подозреваю, что компьютер заражен. CureIt нашел и удалил несколько червей, но AVZ продолжает показывать подозрительное
Спасибо!
Printable View
Здравствуйте! Подозреваю, что компьютер заражен. CureIt нашел и удалил несколько червей, но AVZ продолжает показывать подозрительное
Спасибо!
Здравствуйте! Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe','');
TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe');
DeleteFile('\Device\HarddiskVolume1\DOCUME~1\USER~1.MID\LOCALS~1\Temp\RarSFX0\jsdb9xp.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
Сделал
[QUOTE='shapel;572629']закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).[/QUOTE]
Закачайте карантин правильно, а из темы уберите.
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
Удалите в MBAM
[CODE]Заражено модулей в памяти:
c:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken.
Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено папок:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
Заражено файлов:
C:\Program Files\avz4\Quarantine\2009-09-06\avz00001.dta (Trojan.Preald) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\WINDOWS\system32\netprotocol.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\user.MIDAS-D277A0A7A\Application Data\NP.sys (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\9_exception.nls (Trojan.Tibs) -> No action taken.
[/CODE]
сделайте лог MBAM
Закачал карантин правильно, в MBAM все удалил.
Прошу прощения!
Что с проблемой? Рекомендую обновить Windows 5.1.2600 Service Pack 2 до Windows 5.1.2600 Service Pack 3, возможно потребуется активация, Internet Explorer v6.00 до Internet Explorer v8.00 + установить последние обновления на ОС.
Огромное спасибо! Вроде все теперь в порядке, только смущают строки
Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Функция advapi32.dll:SystemFunction035 (620) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[670017CF]
при сканировании AVZ. Это, я так понимаю, HiJackThis? Как лучше, оставить как есть или деинсталлить HiJackThis?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]