Здравствуйте!
После чистки системы от множества вирусов, есть подозрение, что все равно осталась какая-то зараза.
С Уважением.
Printable View
Здравствуйте!
После чистки системы от множества вирусов, есть подозрение, что все равно осталась какая-то зараза.
С Уважением.
пофиксите
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\zfqmhg.exe,
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zfqmhg.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MCDT.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avntsc.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\avntsc.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\MCDT.exe');
DeleteFile('C:\WINDOWS\system32\zfqmhg.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
такой [url]http://virusinfo.info/showthread.php?t=40118[/url] лог сделайте
файл карантина оказался пустой.
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
[CODE]
gmer.exe -del service laapwf
gmer.exe -del file "C:\WINDOWS\system32\zriiw.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\laapwf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\laapwf"
gmer.exe -reboot
[/CODE]
Сделайте новый лог gmer.
срипт выполнил, перезагрузился.
новый лог GMER сделать не могу, после запуска SCAN система вываливается в синий экран.
Антивирус, эмуляторы дисков отключали?
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
[QUOTE=thyrex;737349]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL][/QUOTE]
Лог ComboFix.
[QUOTE=snifer67;737180]Антивирус, эмуляторы дисков отключали?[/QUOTE]
Конечно. Все как всегда.
Сегодня с утра попробовал ради интереса еще разок просканировать Gmer, но предварительно, до начала нажатия на SCAN, прошелся по всем доп. закладкам.
Затем нажал SCAN и все закончилось благополучно. Очень странно все это.
Прилагаю лог Gmer.
c:\windows\system32\winlogon.exe проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\ +t·[ЎVЂR
c:\windows\system32\Жуї'РйdЃgѕMЂ
Driver::
laapwf
NetSvc::
laapwf
Folder::
c:\program files\Common Files\8B79489Fa
Registry::
FileLook::
c:\windows\system32\winlogon.exe
DirLook::
c:\documents and settings\ttt[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
[QUOTE=thyrex;737642]c:\windows\system32\winlogon.exe проверьте на [URL="http://www.virustotal.com/ru"]virustotal[/URL]
Ссылку на результат проверки сообщите
[/QUOTE]
[URL]http://www.virustotal.com/file-scan/report.html?id=f939a8e86674765c5a4509a9274d9b2a511ef279c899ffde92d058f2676746fe-1290760228[/URL]
[QUOTE]c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\windows\system32\drivers\rasacd.sys[/QUOTE]
запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
После отправки файлы замените чистыми с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url] или [B]аналогичной[/B] системы
Папка c:\documents and settings\ttt пустая?
Файлы
[QUOTE]c:\windows\system32\ +t·[ЎVЂR
c:\windows\system32\Жуї'РйdЃgѕMЂ
[/QUOTE]удалите вручную
[B]Смените все пароли[/B]
Выполните скрипт в AVZ
[CODE]begin
ClearLog;
ExpRegKey('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'c:\winlogon.log');
end.[/CODE]Файл [B]c:\winlogon.log[/B] прикрепите к сообщению
[QUOTE=thyrex;738196]После отправки файлы замените чистыми с дистрибутива [URL]http://virusinfo.info/showthread.php?t=51654[/URL] или [B]аналогичной[/B] системы
[/QUOTE]
файлы заменил с другой системы.
[QUOTE=thyrex;738196]
Папка c:\documents and settings\ttt пустая?
[/QUOTE]
папка не пустая, в ней стандартные папки пользователя.
В системе был заведен пользователь-администратор ttt.
Пользователя и его папку c:\documents and settings\ttt удалил.
[QUOTE=thyrex;738196]
Файлы
Цитата:
c:\windows\system32\ +t·[ЎVЂR
c:\windows\system32\Жуї'РйdЃgѕMЂ
[/QUOTE]
Файлы удалил.
[QUOTE=thyrex;738196]
[B]Смените все пароли[/B]
[/QUOTE]
пароль пользователя Admin сменил.
Подождем анализ отправленных Вами файлов
[QUOTE=thyrex;740041]Подождем анализ отправленных Вами файлов[/QUOTE]
ОК, подождем!
Файлы чистые. Что с проблемой?
[QUOTE=thyrex;741309]Файлы чистые. Что с проблемой?[/QUOTE]
выложить логи свежие на проверку?
А Вы всегда отвечаете вопросом на вопрос? ;)
Если все еще есть проблемы - выкладывайте,
только расскажите, что конкретно беспокоит.
[QUOTE=Bratez;742977]А Вы всегда отвечаете вопросом на вопрос? ;)
Если все еще есть проблемы - выкладывайте,
только расскажите, что конкретно беспокоит.[/QUOTE]
Дак изначально в теме была описана проблема:
После чистки системы от множества вирусов, есть подозрение, что все равно осталась какая-то зараза.
Далее выполнял советы специалистов.
Логи плохого не показали
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]