Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe ,svchost.exe"
C:\WINDOWS\system32\adir.dll >>>>> Email-Worm.Win32.Banwarum.f удален
нет доступа к параметрам экрана - появляется синий экран
Нестандартный ключ Winlogon\Shell
Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe ,svchost.exe"
C:\WINDOWS\system32\adir.dll >>>>> Email-Worm.Win32.Banwarum.f удален
нет доступа к параметрам экрана - появляется синий экран
Последний раз редактировалось vanek; 05.03.2007 в 00:12.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Запустите AVZ.
Выполните скрипт через меню Файл:
Загрузите файл 8257_quarantine.zip из папки AVZ, используя эту ссылку.Код:begin QuarantineFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe',''); QuarantineFile('C:\WINDOWS\System32\zafrye.dll',''); QuarantineFile('svchost.exe',''); QuarantineFile('c:\windows\system32\uvnx.exe',''); QuarantineFile('C:\WINDOWS\System32\taskdir.exe',''); QuarantineFile('C:\WINDOWS\System32\lnwin.exe',''); QuarantineFile('C:\WINDOWS\System32\adirss.exe',''); QuarantineFile('C:\DOCUME~1\Van\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\Van\LOCALS~1\Temp\svchast.exe',''); QuarantineFile('C:\WINDOWS\inetloader.dll',''); CreateQurantineArchive(GetAVZDirectory+'8257_quarantine.zip'); end.
PS. Настоятельно рекомендую установить Service Pack 2 для Windows XP. Правда, могут быть проблемы, если Windows пиратский.
PPS. Вы процессы через диспетчер задач перед созданием логов не закрывали?
Последний раз редактировалось AndreyKa; 04.03.2007 в 21:50. Причина: PS
логи делал не со всеми процессами, сильно ругался.
прикрепил логи со всеми обчными процессами, надеюсь все как надо сделанно
ну и файл 8257_quarantine.zip
Результат загрузки
Файл сохранён как070304_232528_8257_quarantine_45eb2b38d16fb.zip Размер файла633372MD584801637ccbc1d75dd0577dd0131fb3f
Последний раз редактировалось vanek; 05.03.2007 в 00:12.
C файлом 8257_quarantine.zip получилось что-то не то.
Придется вручную взять из карантина файлы, попавшие туда сегодня. Как это сделать смотрите в приложении 3 Правил.
сделано, отправил по ссылке
эту ссылку.
Файл сохранён как070305_001500_virus_45eb36d4de821.zip
Все присланные в этот раз файлы - вредоносные.
Закройте все программы.
Отключитесь от Интернета.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\Van\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\inetloader.dll'); DeleteFile('C:\WINDOWS\System32\lnwin.exe'); DeleteFile('C:\WINDOWS\System32\adirss.exe'); DeleteFile('C:\WINDOWS\System32\taskdir.exe'); DeleteFile('C:\DOCUME~1\Van\LOCALS~1\Temp\svchast.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(True); end.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.
вот файлы, вопрос с насторойками разрешения на компьютере, стоит самое низкое разрешение, глубина цвета и т.д. изменить не дает - сининй экран
В AVZ восстановление системы, пункт 5, поставить галочку, выполнить отмеченные операции.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксте в HijackThis следующие строки:
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\...
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\...
все сделал только с экраном проблемма осталась, выдает синий экран ироглифы, понятный текст следущий
STOP 0x0000008e (0xc00000005, 0xBFA5769A, 0XEF8272CC, 0x00000000)
ati3duag.dll - address BfA5796A base at BFA03000, datestamp 3ec448c5
и при заходе в установку оборудования пишет занят, т.к. можно устанавливать 1 оборудование в каждый момент времени
спасибо всем, работает
Что работает? И свойства рабочего стола?
Вы можете нам помочь в дальнейшей борьбе с заразой.
Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь: http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\van\\locals~1\\temp\\svchast.exe - Trojan-Downloader.Win32.Bensorty.dr (DrWEB: Trojan.DownLoader.19391)
- c:\\docume~1\\van\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.du (DrWEB: Trojan.Spambot)
- c:\\windows\\inetloader.dll - Trojan-Downloader.Win32.Small.ddp (DrWEB: Trojan.DownLoader.19172)
- c:\\windows\\system32\\adirss.exe - Packed.Win32.Tibs.bw (DrWEB: Trojan.Packed.43)
- c:\\windows\\system32\\lnwin.exe - Packed.Win32.Tibs.bw (DrWEB: Trojan.Packed.43)
- c:\\windows\\system32\\taskdir.exe - Packed.Win32.Tibs.bw (DrWEB: Trojan.Packed.43)
Уважаемый(ая) vanek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
