Полечил Dr. Web CureIt!
Но уверен осталось много следов
посмотрите пожалуйста
Printable View
Полечил Dr. Web CureIt!
Но уверен осталось много следов
посмотрите пожалуйста
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\bibde1w.exe,
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\Temp\esp4F9C.tmp','');
QuarantineFile('Netprotocol.sys','');
DeleteService('Netprotocol');
DeleteFile('Netprotocol.sys');
DeleteFile('C:\WINDOWS\Temp\esp4F9C.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\windrvNT.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
[QUOTE]Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы[/QUOTE]
Avz была на флешке, файлы из карантина были убиты когда переставлял её в работоспособный комп.
Если сейчас это возможно, то какой скрипт (лечения или сбора) мне снова выполнить чтобы восстановить их.
Или же достаточно прикрепить virusinfo_cure.zip ?
PS Ваши скрипты пока не выполнял
Выполняйте скрипты. Нужен карантин после их выполнения
готово
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DeleteFileMask('C:\WINDOWS\system32\lowsec', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\lowsec');
DeleteFileMask('C:\WINDOWS\system32\lowsec', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\lowsec');
DeleteFileMask('C:\Documents and Settings\BOSS\Application Data\Microsoft Security', '*.*', true);
DeleteDirectory('C:\Documents and Settings\BOSS\Application Data\Microsoft Security');
ExecuteREpair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Больше плохого не видно
Смените [B]все пароли[/B]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
спасибо добрый человек!
повторные логи не нужны?
[QUOTE='helpzconnet;665386']повторные логи не нужны?[/QUOTE]Нет, не нужны
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan.Win32.Agent.dvrh[/B] ( DrWEB: Trojan.Packed.20084, BitDefender: Trojan.Generic.3899553, NOD32: Win32/Spy.Shiz.NAO trojan )[*] c:\windows\temp\esp4f9c.tmp - [B]Trojan-Spy.Win32.Zbot.aldh[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]