периодически NOD32 предупреждает сообщением, о блокировке адреса dlink4.biz/****/er.php с IP 195.78.108.20:80
кто то ломится!?
Printable View
периодически NOD32 предупреждает сообщением, о блокировке адреса dlink4.biz/****/er.php с IP 195.78.108.20:80
кто то ломится!?
Пофиксить в Hijack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - Winlogon Notify: crypt - Invalid registry found
[/CODE]
Выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\1c21d0a3.sys','');
DeleteService('1c21d0a3.sys');
QuarantineFile('C:\WINDOWS\System32\drivers\4b54ffd5.sys','');
DeleteService('4b54ffd5.sys');
QuarantineFile('C:\WINDOWS\System32\drivers\beta91e.sys','');
DeleteService('beta91e');
QuarantineFile('C:\WINDOWS\System32\drivers\de89e360.sys','');
DeleteService('de89e360.sys');
QuarantineFile('C:\WINDOWS\System32\drivers\dgc9bd8.sys','');
DeleteService('dgc9bd8');
QuarantineFile('C:\WINDOWS\System32\drivers\hkjf21a.sys','');
DeleteService('hkjf21a');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv30.sys','');
DeleteService('Winjp85');
DeleteService('Winnt06');
DeleteService('Winou38');
DeleteService('Winpv30');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnt06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\hkjf21a.sys');
DeleteFile('C:\WINDOWS\System32\drivers\dgc9bd8.sys');
DeleteFile('C:\WINDOWS\System32\drivers\de89e360.sys');
DeleteFile('C:\WINDOWS\System32\drivers\beta91e.sys');
DeleteFile('C:\WINDOWS\System32\drivers\4b54ffd5.sys');
DeleteFile('C:\WINDOWS\System32\drivers\1c21d0a3.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
[QUOTE='shapel;578947']файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.[/QUOTE]
Файл quarantine.zip отправлен, прилагаю новые логи.
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('ClipSrvstisvc', 4);
DeleteService('ClipSrvstisvc');
StopService('ClipSrvstisvc');
SetServiceStart('ERSvcWebClient', 4);
DeleteService('ERSvcWebClient');
StopService('ERSvcWebClient');
SetServiceStart('lanmanserverSharedAccess', 4);
DeleteService('lanmanserverSharedAccess');
StopService('lanmanserverSharedAccess');
SetServiceStart('lanmanworkstationwuauserv', 4);
DeleteService('lanmanworkstationwuauserv');
StopService('lanmanworkstationwuauserv');
SetServiceStart('NetDDEERSvc', 4);
DeleteService('NetDDEERSvc');
StopService('NetDDEERSvc');
SetServiceStart('NVSvcSpooler', 4);
DeleteService('NVSvcSpooler');
StopService('NVSvcSpooler');
SetServiceStart('WebClientCryptSvc', 4);
DeleteService('WebClientCryptSvc');
StopService('WebClientCryptSvc');
QuarantineFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys','');
DeleteService('yrjmkllbkl');
StopService('yrjmkllbkl');
SetServiceStart('yrjmkllbkl', 4);
DeleteFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
карантин пуст.
[QUOTE=axxxel;579017]карантин пуст.[/QUOTE]
Такое бывает, новые логи сделайте.
вот логи
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys','');
SetServiceStart('yrjmkllbkl', 4);
DeleteService('yrjmkllbkl');
StopService('yrjmkllbkl');
SetServiceStart('WebClientCryptSvc', 4);
DeleteService('WebClientCryptSvc');
StopService('WebClientCryptSvc');
SetServiceStart('NVSvcSpooler', 4);
DeleteService('NVSvcSpooler');
StopService('NVSvcSpooler');
SetServiceStart('NetDDEERSvc', 4);
DeleteService('NetDDEERSvc');
StopService('NetDDEERSvc');
SetServiceStart('lanmanworkstationwuauserv', 4);
DeleteService('lanmanworkstationwuauserv');
StopService('lanmanworkstationwuauserv');
SetServiceStart('lanmanserverSharedAccess', 4);
DeleteService('lanmanserverSharedAccess');
StopService('lanmanserverSharedAccess');
SetServiceStart('ERSvcWebClient', 4);
DeleteService('ERSvcWebClient');
StopService('ERSvcWebClient');
SetServiceStart('ClipSrvstisvc', 4);
DeleteService('ClipSrvstisvc');
StopService('ClipSrvstisvc');
DeleteFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys');
BC_ImportDeletedList;
BC_DeleteSvc('yrjmkllbkl');
BC_DeleteSvc('WebClientCryptSvc');
BC_DeleteSvc('NVSvcSpooler');
BC_DeleteSvc('NetDDEERSvc');
BC_DeleteSvc('lanmanworkstationwuauserv');
BC_DeleteSvc('lanmanserverSharedAccess');
BC_DeleteSvc('ERSvcWebClient');
BC_DeleteSvc('ClipSrvstisvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
в карантине по прежнему ничего.
Выполните скрипт
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
Сделайте логи АВЗ и лог Gmer
вот они
Лог Gmer'а--пустой, еще раз сделайте. Посмотрите в моей подписи как делать лог.
так и сделал, все галки кроме как на диске "С" снял и запустил, ничего, говорит не найдено, может еще какие нибудь галочки поставить
[QUOTE=axxxel;579159]так и сделал, все галки кроме как на диске "С" снял и запустил, ничего, говорит не найдено, может еще какие нибудь галочки поставить[/QUOTE]
Т.е. лог пустой как и в предыдущий раз?
да пустой, пишет Hasn t found...
Делаем паузу, надо подумать.
правильно ли я расставляю галочки ?!
Не правильно. Смотрите тут. [url]http://virusinfo.info/showthread.php?t=40118[/url]
Gver, AVZ запрошенные
В логах чисто, что с проблемой?
Удалите Bonjour--[URL="http://virusinfo.info/showthread.php?t=27923"]http://virusinfo.info/showthread.php?t=27923[/URL]
НОД перестал показывать уведомления, в логах есть остатки касперского, удалить его корректно не получалось (давно было) есть ли возможность удалить их ?
Бонжур разве не требуется для синхронизации Iphone ?
некоторые программы просят его установить
[QUOTE='axxxel;579726']в логах есть остатки касперского, удалить его корректно не получалось (давно было) есть ли возможность удалить их ?[/QUOTE]
Посмотрите здесь как удалять остатки [URL="http://virusinfo.info/showthread.php?t=16646"]http://virusinfo.info/showthread.php?t=16646[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]