Здравствуйте! Прошу вас проверить эти логи, перестановка системы затруднена....как обычно.
Printable View
Здравствуйте! Прошу вас проверить эти логи, перестановка системы затруднена....как обычно.
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\\dvt.exe','');
QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
QuarantineFile('\SystemRoot\System32\Drivers\dump_IdeChnDr.sys','');
QuarantineFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ldfjksdhejf.dll','');
DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll');
DeleteFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2
и повторите логи AVZ
Добавить надо строчку в скрипт.
[CODE]QuarantineFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe','');[/CODE]
спасибо добавил, а то на работе немного невнимательный..
хмм...а добавил после того, как указали на ошибку, или до??...
вобщем файла того, по тому адресу я в ручную не нашёл.
скрипт был выполнен тот , что был до замечания коллеги, проверку сделал ....вот логи.
и ещё вопрос: У меня на форуме видимо есть какое то общее кол-во вложений распространяющееся на все темы... когда лимит вложений закончится, я больше не смогу попросить помощи? или как мне обнулить мои вложения?
[url]http://virusinfo.info/faq.php?faq=vb_read_and_post#faq_vb_attachment_explain[/url]
Там есть также волшебное слово " удалить"
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
QuarantineFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\cpssp.dll');
BC_DeleteFile('C:\DOCUME~1\novikova\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
C:\\dvt.exe -Что бы это значило ?
может объясните, что у вас там файрволами происходит? У вас там и ca internet security i
microsoft firewall client\isatray.exe
dvt.exe - вчера в какой-то теме было, ничего опасного.
cpssp.dll - однако никем не детектится...
dvt.exe - крэк к NOD
В логах NOD виден?
Нода нет, поэтому и спросил что-это и зачем оно в системе.
[quote=MaXim;106673]dvt.exe - крэк к NOD
В логах NOD виден?[/quote]
Насчет NOD'a я ошибался... Но файл таки не опасен.
может объясните, что у вас там файрволами происходит? У вас там и ca internet security и microsoft firewall client\isatray.exe
как таковой ca internet security не является прямой фаервольной программой, самого фаервола из этого пакета программ я не ставил(слишком много проблем с сетью), а microsoft firewall client\isatray.exe выполняет следующ9ую функцию: при исходящем инет соединении локальной машины ИСА сервер блокирует все не учтённые порты, и эта программа при постоянном соединении локальной машины со шлюзом обеспечивает открытие нужного порта для юзера при работе в конкретной программе.
по поводу dvt.exe - ничего сказать немогу... что касательно нода, то он стоял до этого на машине, однако был удалён вместе с кряком... нигде подобных файлов я незамечал...там где работает нод32.
поэтому я пожалуй уберу из скрипта удаление этих файлов
cpssp.dll и dvt.exe , а просто отправлю их в карантин.
кажется я поспешил с самоличным редактированием скрипта... вобщем выполняю скрипт как есть.
Если не поздно, уберите из скрипта строку
[B]BC_DeleteFile('C:\WINDOWS\system32\cpssp.dll');[/B]
Это вроде от Крипто про библиотечка.
После скрипта пофиксите
[code]
O2 - BHO: C:\WINDOWS\system32\ldfjksdhejf.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldfjksdhejf.dll (file missing)
[/code]
и повторите логи п.10 и 12 правил.
[quote=drongo;106664][URL]http://virusinfo.info/faq.php?faq=vb_read_and_post#faq_vb_attachment_explain[/URL]
Там есть также волшебное слово " удалить"[/quote]
волшебное слово "удалить" есть только в личных сообщениях, а я спрашиваю про вложения, которые забиваются у меня отчётами.
Сумма всех вложений, принадлежащих Silver: 223.8 Кбайт
скоро я подойду к лимиту вложений равному 244,1Кбайт.
"Мой кабинет" - "Вложения"
Там отметить старые логи и нажать "Удалить выделенные"
[quote=Bratez;106692]Если не поздно, уберите из скрипта строку
[B]BC_DeleteFile('C:\WINDOWS\system32\cpssp.dll');[/B]
Это вроде от Крипто про библиотечка.
[/quote]
к сожалению скрипт выполнен... однако данный файл остался в карантине, я вроде бы его восстановил(нажал на кнопку "восстановить выделенные файлы"). надеюсь это поможет.
Однако тут же вопрос: что означают символы [B]"BC_" [/B]в строке?
Bratez спасибо за пояснение!
Больше ничего подозрительного в логах нет.
Только один вопрос: Remote Administrator сами ставили?
BC_... - команды Boot Cleaner'a, работают после перезагрузки на начальном этапе запуска Windows.
Да Radmin сам ставил целенаправленно.
Значит если я просто восстановил файл из карантина, то его работоспособность не нарушится?
[QUOTE]Значит если я просто восстановил файл из карантина, то его работоспособность не нарушится?[/QUOTE]Всё правильно
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ldfjksdhejf.dll - [B]Trojan-Downloader.Win32.Bensorty.bg[/B] (DrWEB: Trojan.DownLoader.21660)[/LIST][/LIST]