-
[B]thyrex[/B],
сорри, увидела :)
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 18 минут[/I][/B][/color][/size]
thyrex,
в найденных МВАМ вредоносных программах, кроме карантина AVZ от 12 мая, есть карантин от 13 мая - может, его тоже удалить?
-
Удаляйте, если отправили его
-
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\WINDOWS\system32\Instmtv.exe');
TerminateProcessByName('C:\WINDOWS\system32\scdll.exe ');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3603408119-3136441216-293023545-4088\playncr.exe','');
QuarantineFile('C:\WINDOWS\system32\Instmtv.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3603408119-3136441216-293023545-4088\playncr.exe');
DeleteFile('C:\WINDOWS\Temp\spool32.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\Instmtv.exe');
DeleteFilemask('C:\32788R22FWJFW','*.*',true);
DeleteDirectory('C:\32788R22FWJFW');
DeleteFilemask('C:\WINDOWS\system32','??.scr',false);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','05');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
Executerepair(11);
Executerepair(13);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
-
Карантин отправлен. Новые логи
-
Просканируйте ПК МВАМ и удалите все, что он найдет, затем сделайте новый лог.
-
-
После удаления в МВАМ ПК перезагружали?
Что сейчас с проблемой?
-
Перезагружала.
На данный момент: в диспетчере задач гадостей нет, в C:\WINDOWS куча батников с числовыми именами, по типу 03.bat, 05.bat, 17. bar и пр. В C:\WINDOWS\system32 три екзешки: 17.ехе, 27.ехе и scdll.exe, вторая прописана в автозагрузке. В C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084 уже знакомый мне number[1].asp, в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2 tkhowrof[1].exe.
Instmtv.exe и jjdrive32.exe пока больше не появлялись.
-
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM, будем добивать заразу.
-
Ну где же логи, ну где же наши логи?
А вот они:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFilemask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFilemask('C:\WINDOWS','??.bat',false);
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\27.exe ');
DeleteFile('C:\WINDOWS\system32\30.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.
[/code]
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
Еще немного, ее чуть-чуть.
Последний лог - он трудный самый...
-
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\77.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Что с проблемой?
-
В C:\WINDOWS батник 75.bat, в C:\WINDOWS\system32 екзешники 30.ехе, 75.ехе и scdll.exe, они же в диспетчере задач, 75.ехе прописан в автозагрузке.
В C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MUJERUQ7 tkhowrof[1].exe.
-
[B]shem_ar[/B], обновления для системы все установлены?
-
[B]thyrex[/B],
глупый вопрос: а что вы имеете в виду?
-
Все патчи, которые Microsoft выпустила после выхода SP3
-
Боюсь, что нет, так как автоматическое обновление у меня отключено :(
-
Ну так устанавливайте. Если система - не лицензия, после установки патча проверки подлинности может потребоваться повторная активация
Page generated in 0.01461 seconds with 10 queries