Привет,Всем! :)
Проблема следующая:
[LIST][*]хотелось бы обратить внимание на остатки поддельных winlogon.exe и explorer.exe; из-за них должным образом не работает поиск в браузерах.[/LIST]
логи с помощью mbam и combo возможности сделать нет.
Printable View
Привет,Всем! :)
Проблема следующая:
[LIST][*]хотелось бы обратить внимание на остатки поддельных winlogon.exe и explorer.exe; из-за них должным образом не работает поиск в браузерах.[/LIST]
логи с помощью mbam и combo возможности сделать нет.
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
[/CODE]
2. Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP4\A0000806.exe','');
QuarantineFile('C:\DOCUME~1\F414~1\LOCALS~1\Temp\eH0cfmTT.sys','');
DeleteFile('C:\DOCUME~1\F414~1\LOCALS~1\Temp\eH0cfmTT.sys');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP4\A0000806.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
карантин отправил.
обратите внимание на
[QUOTE]O4 - HKLM\..\Run: [Съемный диск] "C:\WINDOWS\System32\wscript.exe" "C:\Program Files\Съемный диск\usb.wsf" //Job:Work[/QUOTE] до добра не доведет.
еще они вызывают подозрение
[QUOTE]C:\WINDOWS\system32\DRIVERS\tkfilter.sys[/QUOTE]
в процессах еще висит [QUOTE]E_s40RP7.EXE
spoolsv[/QUOTE] тоже неизвестные
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
и что по поводу карантина?
В карантине подозрительного нет
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]