выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Mfdt47'); QuarantineFile('Mfdt47.sys',''); BC_DeleteSvc('aic32p'); QuarantineFile('C:\WINDOWS\system32\drivers\gsmohn.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\gsmohn.sys'); DeleteFile('Mfdt47.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
в карантин файлов не попало...
Последний раз редактировалось mic149; 02.07.2008 в 16:32.
выполните скрипт ...
какие - то прооблемы остались ?Код:begin DeleteFile('sockins32.dll'); DelCLSID('66186F05-BBBB-4a39-864F-72D84615C679'); ExecuteSysClean; RebootWindows(true); end.
смогу ответить только завтра, проблем и до предыдущего скрипта не было.
после этого скипта логи высылать?
а без выполнения этого скрипта можно работать на компьютере или возникнут проблемы?
кстати, бухгалтер хотела бы поощрить проект - помощь анонимная?
скорее файла нет , есть только след в реестре .... теоретически проблем быть не должно ...
компьютер был вылечен - не знаю что с пользователями делать - не прошло и двух недель...
загрузил курита при сэйф мод - отчет прилагаю.
есть кто-нибудь?
Последний раз редактировалось mic149; 02.07.2008 в 16:32.
пока ждал помощи - сам кое-что пофиксил.
проверьте пожалуйста что осталось
Последний раз редактировалось mic149; 02.07.2008 в 16:32.
Осталось немножко:
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
Плюс еще:З.Ы. не волнуйся, просто у нас у всех есть еще основная работа кроме этой.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('sockins32.dll',''); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteService('Winta51'); DeleteService('Winrw51'); DeleteService('Winqv74'); DeleteService('Winnt63'); DeleteService('Winjo62'); DeleteService('Winin40'); DeleteService('Pua62'); DeleteFile('C:\WINDOWS\System32\Drivers\Pua62.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winin40.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winjo62.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winnt63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winrw51.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winta51.sys'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('sockins32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
прикрепляю...
подскажите что с системой после лечения пожалуйста
...и что такое wininet.dll?
Последний раз редактировалось mic149; 02.07.2008 в 16:32.
По поводу файла wininet.dll
смотри www.greatis.com. Думаю, он там в списках есть.
В логах кое-что осталось:
В AVZ Менеджер Active setup удалить строчку сКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('sockins32.dll',''); DeleteService('Winqv74'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys'); DeleteFile('sockins32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
sockins32.dll
Добавлено через 43 секунды
Да, и конечно логи надо будет повторить.
Последний раз редактировалось PavelA; 02.07.2008 в 11:26. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
указания выполнил!
карантин пуст почему-то...
как у меня дела?
Последний раз редактировалось mic149; 02.07.2008 в 16:32.
новые
Последний раз редактировалось mic149; 02.07.2008 в 16:32.
Не удалился:
После этого повторить логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqv74.sys'); BC_deleteSvc('Winqv74'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Перед выполнением скрипта нужно ли отключать аваст?
выполнил скрипт при отключенном авасте.
карантин пуст...
Последний раз редактировалось mic149; 14.07.2008 в 14:03.
В логах ничего плохого не увидел. Проблемы остались?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
проблем нет. всё как всегда красиво.
спасибо!
логи вот
Последний раз редактировалось mic149; 31.10.2008 в 17:50.
кого ищем ? в логах ничего зловредного ....
Спасибо. Просто чистил сам. Логи положил для того чтобы профессионалы окончательный диагноз поставили - может что осталось... Ну раз ничего нет, то спасибо за потраченное на меня время.
Последний раз редактировалось mic149; 14.07.2008 в 15:34. Причина: Добавлено
Уважаемый(ая) mic149, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
