Printable View
Доброго времени суток, не знаю где подцепил вирусы но мой аваст их совсем не обнаруживает...Скрытые файлы комп не показывает (по ходу d.com ), а заодно при запуске браузера IE сразу же при установлении соединения он просто пропадает и всё, чё делать уже не знаю, прилагаю логи
Не приложились.
Да вижу я что не приложились, пишет напостой ошибка загрузки, а эти правила скоро уже наизусть выучу...IE не работает, а ОПЕРА И МАЙ ИЕ 2 глючит :-(
кажись получилось
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O21 - SSODL: UpdateCheck - {D51CAE37-E6FA-4785-A321-E3D18C0A28B7} - C:\WINDOWS\system32\mstmdm.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\rootmdw.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\DRIVERS\rootmdw.sys');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Поищите sockspy.dll через AVZ - Сервис - Поиск файлов на диске
и добавьте в карантин.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16588[/url]).
Сделайте новые логи.
Сделал всё как написано, положительных результатов нет,скрытые файлы всё так же не вижу зато EI при запуске теперь сильно нагружает комп, а потом выпадает стандартная извинялка с предложением отправить отчёт в логово маздая...sockspy.dll у меня AVZ не нашла,посему в карантин ничего не поместил и отправлять тожа нечего, присылаю новые логи :-(
Кстати говоря, а что, аватары на этом форуме удел избранных ?
мой кабинет - изменить аватар
Анимированные - нельзя, выше положенного размера - тоже
Парни, я прочитал ваши правила раз по 5 каждое, сделал всё как там написано, зачем вы мне каждый раз даёте ссылки на них ???
[quote=rubin;174718]мой кабинет - изменить аватар
Анимированные - нельзя, выше положенного размера - тоже[/quote]
Это я понимаю, но чё-то не получается ... Чё тут выбрать-то надо (>>1.jpg) ?
Для аватара у вас сообщений маловато ;)
[quote]sockspy.dll у меня AVZ не нашла,посему в карантин ничего не поместил и отправлять тожа нечего[/quote]
В карантине помимо sockspy.dll еще много всего.
Зараза у вас приходит с флэшки, или др. съемного носителя, который диск М:.
1. Отключите восстановление системы.
2. Съемный диск, который стоял при выполнении последних логов подключите.
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('M:\autorun.inf');
DeleteFile('C:\m1t8ta.com');
DeleteFile('D:\m1t8ta.com');
DeleteFile('M:\m1t8ta.com');
DeleteFile('D:\n1deiect.com');
DeleteFile('M:\n1deiect.com');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
4. Все содержимое карантина пришлите по правилам
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16588[/url]).
5. Сделайте логи еще раз (диск M: пусть так и стоит).
Сделал всё как сказали, скрипты выполнил, в карантине 3 папки за 5, 18, 20 января, закачал по правилам все 3 (весят они правда некисло), заодно последние логи... ;-)
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\863E~1\LOCALS~1\Temp\{C49B4A5F-175D-4699-B008-23AC75D8C73A}\{EEBA94 16-3207-47E0-9022-116440599DBC}\P2006tmp\Install.exe','');
QuarantineFile('M:\xn1i9x.com','');
QuarantineFile('L:\m1t8ta.com','');
QuarantineFile('L:\xn1i9x.com','');
QuarantineFile('D:\xn1i9x.com','');
DeleteFile('C:\xn1i9x.com');
DeleteFile('D:\xn1i9x.com');
DeleteFile('L:\xn1i9x.com');
DeleteFile('L:\m1t8ta.com');
DeleteFile('M:\xn1i9x.com');
DeleteFile('L:\autorun.inf');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
IE теперь запускается и скрытые файлы просматриваются. Спасибооо :-)))
в логах ничего зловредного ...
что из этого нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого нужно ?
Хотел бы я знать чё это ваще такое ???
понятно ...
компьютер домашний/ рабочий?
локальная сеть есть\ нет ?
компьютер домашний, локалки как таковой нет,только от ДОМ.РУ:rolleyes:
выполните скрипт ..
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]45[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.bua[/B] (DrWEB: Win32.HLLW.Autoruner)[*] c:\\m1t8ta.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\system volume information\\_restore{9ad62805-83ee-45e6-bc0f-f485579f3677}\\rp5\\a0007143.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\system volume information\\_restore{9ad62805-83ee-45e6-bc0f-f485579f3677}\\rp5\\a0008178.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\system volume information\\_restore{9ad62805-83ee-45e6-bc0f-f485579f3677}\\rp5\\a0009178.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\system volume information\\_restore{9ad62805-83ee-45e6-bc0f-f485579f3677}\\rp5\\a0010178.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\system volume information\\_restore{9ad62805-83ee-45e6-bc0f-f485579f3677}\\rp5\\a0010196.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.ojg[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\amvo0.dll - [B]Worm.Win32.AutoRun.bep[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\windows\\system32\\drivers\\rootmdw.sys - [B]Trojan-Downloader.Win32.Agent.dph[/B] (DrWEB: Trojan.NtRootKit.453)[*] c:\\xn1i9x.com - [B]Worm.Win32.AutoRun.cag[/B] (DrWEB: Trojan.MulDrop.6474)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.bua[/B] (DrWEB: Win32.HLLW.Autoruner)[*] d:\\xn1i9x.com - [B]Worm.Win32.AutoRun.cag[/B] (DrWEB: Trojan.MulDrop.6474)[*] l:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.pgs[/B] (DrWEB: Win32.HLLW.Autoruner.1215)[*] l:\\m1t8ta.com - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B] (DrWEB: Trojan.MulDrop.6474)[*] l:\\xn1i9x.com - [B]Worm.Win32.AutoRun.cag[/B] (DrWEB: Trojan.MulDrop.6474)[*] m:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.oob[/B][*] m:\\xn1i9x.com - [B]Worm.Win32.AutoRun.cag[/B] (DrWEB: Trojan.MulDrop.6474)[/LIST][/LIST]