Поймал BackDoor.Generic.1138,:embarasse
1. нет доступа к реестру.....:embarasse
2. нет доступа к свойствам папки:embarasse
3. может еще что-нибудь ????
Printable View
Поймал BackDoor.Generic.1138,:embarasse
1. нет доступа к реестру.....:embarasse
2. нет доступа к свойствам папки:embarasse
3. может еще что-нибудь ????
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe','');
DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Application Data\br4743on.exe');
DeleteFile('C:\Documents and Settings\Админ.ORG-OTD\Local Settings\Application Data\br11805on.exe');
DeleteFile('C:\WINDOWS\Media\br3951on.exe');
DeleteFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe');
DeleteFile('Explorer.exe C:\WINDOWS\KesenjanganSosial.exe');
DeleteFile('C:\Documents and Settings\Админ.ORG-OTD\Шаблоны\21792-NendangBro.com');
DeleteFile('sockspy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ClearHostsFile;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Пофиксите в HijackThis (что останется):
[code]
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKCU\..\Run: [Tok-Cirrhatus-5391] "C:\Documents and Settings\Админ.ORG-OTD\Local Settings\Application Data\br11805on.exe"
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
[/code]
В Панели Управления -> Назначенные задания:
удалите оба задания.
Сделайте новые логи + добавьте файл boot_clr.log из папки с AVZ.
Все рекомендации выполнил.
С первого взгляда, все стало нормально.
Огромное спасибо.
RegEdit стал запускаться, и свойства папки появились .....
Высылаю логи после выполнения скрипта....
а вот файл boot_clr.log я почему-то не нашел ????
Посмотрю как будет работать в ближайшие дни.
BitDefender и Dr.Web друг другу не мешают?
В карантин от сегодняшнего числа должен был попасть файл. Его нужно загрузить через форму. См. ссылку вверху.
Подробности описаны в правилах.
До конца еще не вылечились. В AVZ файл -- восст. системы -- отметить п.6 -- выполнить.
Главный зверь убит. Осталась еще парочка подозрительных файликов.
Выполните скрипт:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe','');
QuarantineFile('D:\Distr\DVD-SOFT\DIVX CREATE BUNDLE V6.3\KEYGEN\KEYMAKER.EXE','');
CreateQurantineArchive(GetAVZDirectory+'8429_quarantine.zip');
end.
[/code]
и пришлите архив карантина 8429_quarantine.zip из папки с AVZ по ссылке вверху страницы.
Я BitDefender снес совсем, после того как доступ в реестр появился, ...ведь он этого виря и проспал... а поставил Dr.Web им же и лечился ....
А в карантине только пустая папка "2007-03-15"
Про Битдефендер написал, потому что он есть в протоколах. Живой и невредимый.
Да и выполни скрипт[B] Bratez[/B]
п.6 - я уже выполнял.......
файл архива карантина выслать не дает, его размер 330К - что превышает лимит на форуме ........
Почитайте внимательно правила раздела, там написано как прислать файлы карантина.
Файл надо выслать по ссылке "Прислать запрошенные файлы" вверху страницы.
Карантин получен. Результат для 'D:\Distr\DVD-SOFT\DIVX CREATE BUNDLE V6.3\KEYGEN\KEYMAKER.EXE':
[QUOTE]AhnLab-V3 2007.3.15.0 03.15.2007 no virus found
AntiVir 7.3.1.43 03.15.2007 no virus found
Authentium 4.93.8 03.14.2007 no virus found
Avast 4.7.936.0 03.14.2007 no virus found
AVG 7.5.0.447 03.15.2007 no virus found
BitDefender 7.2 03.15.2007 no virus found
CAT-QuickHeal 9.00 03.14.2007 (Suspicious) - DNAScan
ClamAV 0.90.1 03.15.2007 no virus found
DrWeb 4.33 03.15.2007 no virus found
eSafe 7.0.14.0 03.14.2007 no virus found
eTrust-Vet 30.6.3480 03.15.2007 no virus found
Ewido 4.0 03.15.2007 no virus found
FileAdvisor 1 03.15.2007 no virus found
Fortinet 2.85.0.0 03.15.2007 suspicious
F-Prot 4.3.1.45 03.14.2007 no virus found
F-Secure 6.70.13030.0 03.15.2007 no virus found
Ikarus T3.1.1.3 03.15.2007 no virus found
Kaspersky 4.0.2.24 03.15.2007 no virus found
McAfee 4984 03.14.2007 no virus found
Microsoft 1.2306 03.15.2007 no virus found
NOD32v2 2117 03.15.2007 no virus found
Norman 5.80.02 03.15.2007 no virus found
Panda 9.0.0.4 03.15.2007 Suspicious file
Prevx1 V2 03.15.2007 no virus found
Sophos 4.15.0 03.13.2007 Mal/Packer
Sunbelt 2.2.907.0 03.15.2007 VIPRE.Suspicious
Symantec 10 03.15.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 no virus found
UNA 1.83 03.14.2007 no virus found
VBA32 3.11.2 03.15.2007 no virus found
VirusBuster 4.3.7:9 03.15.2007 Packed/Upack [/QUOTE]
Насколько я понимаю, ничего страшного.
А вот 'C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe' в карантин не попал. Давайте попробуем так:
[CODE]begin
ClearQuarantine;
BC_QrFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe') ;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'8429-2_quarantine.zip');
end.[/CODE]
и пришлите файл '8429-2_quarantine.zip' по той же ссылке.
Скрипты выполнил, но файл в карантин не попадает - создается пустой архив :?
Тогда сделаем так. Пофиксите в HijackThis:
[code]
O4 - HKCU\..\Run: [SBRunScr] C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe
[/code]
Затем перезагрузитесь, запустите снова HijackThis и проверьте наличие этой строки. Если ее не будет, на этом ставим точку.
Пофиксил, перезагрузился, строка не появилась
комп работает нормально
Огромное спасибо за помощь!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]