Здравствуйте.
Посмотрите, пожалуйста, как добить моноку.
Был hosts - очистили, NOD32 ловит mkdrv.sys - но не удаляет до конца.
Route в норме.
[ATTACH]260950[/ATTACH]
[ATTACH]260951[/ATTACH]
Printable View
Здравствуйте.
Посмотрите, пожалуйста, как добить моноку.
Был hosts - очистили, NOD32 ловит mkdrv.sys - но не удаляет до конца.
Route в норме.
[ATTACH]260950[/ATTACH]
[ATTACH]260951[/ATTACH]
1.Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] В безопасном режиме
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('mkdrv', 4);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\TeamViewer\Version5\tv.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteService('mkdrv');
DeleteFile('C:\WINDOWS\mkdrv.sys');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
[B]Карантин:[/B]
[I]Файл сохранён как 100815_230759_quarantine_4c683b0fd3cc2.zip
Размер файла 1258
MD5 6eef06536c5ed0cd017b8c4d7ea384ae[/I]
[B]Логи:[/B]
[ATTACH]260957[/ATTACH]
[ATTACH]260958[/ATTACH]
[ATTACH]260959[/ATTACH]
[ATTACH]260960[/ATTACH]
В логах подозрительного нет.
Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Спасибо! Можно закрывать.
В дополнение убедили пользователя перестать пользоваться IE и поставить Opera как основной браузер.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]