thyrex,
сорри, увидела
Добавлено через 3 часа 18 минут
thyrex,
в найденных МВАМ вредоносных программах, кроме карантина AVZ от 12 мая, есть карантин от 13 мая - может, его тоже удалить?
thyrex,
сорри, увидела
Добавлено через 3 часа 18 минут
thyrex,
в найденных МВАМ вредоносных программах, кроме карантина AVZ от 12 мая, есть карантин от 13 мая - может, его тоже удалить?
Последний раз редактировалось shem_ar; 13.05.2010 в 16:12. Причина: Добавлено
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Удаляйте, если отправили его
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('C:\WINDOWS\system32\Instmtv.exe'); TerminateProcessByName('C:\WINDOWS\system32\scdll.exe '); QuarantineFile('C:\WINDOWS\system32\57.exe',''); QuarantineFile('C:\WINDOWS\system32\14.exe',''); QuarantineFile('C:\WINDOWS\system32\scdll.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3603408119-3136441216-293023545-4088\playncr.exe',''); QuarantineFile('C:\WINDOWS\system32\Instmtv.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-3603408119-3136441216-293023545-4088\playncr.exe'); DeleteFile('C:\WINDOWS\Temp\spool32.exe'); DeleteFile('C:\WINDOWS\system32\scdll.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\system32\Instmtv.exe'); DeleteFilemask('C:\32788R22FWJFW','*.*',true); DeleteDirectory('C:\32788R22FWJFW'); DeleteFilemask('C:\WINDOWS\system32','??.scr',false); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','05'); BC_ImportAll; ExecuteSysClean; BC_Activate; Executerepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); Executerepair(11); Executerepair(13); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('PRT', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM
Карантин отправлен. Новые логи
Просканируйте ПК МВАМ и удалите все, что он найдет, затем сделайте новый лог.
Сделано. Вот лог.
После удаления в МВАМ ПК перезагружали?
Что сейчас с проблемой?
Перезагружала.
На данный момент: в диспетчере задач гадостей нет, в C:\WINDOWS куча батников с числовыми именами, по типу 03.bat, 05.bat, 17. bar и пр. В C:\WINDOWS\system32 три екзешки: 17.ехе, 27.ехе и scdll.exe, вторая прописана в автозагрузке. В C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084 уже знакомый мне number[1].asp, в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2 tkhowrof[1].exe.
Instmtv.exe и jjdrive32.exe пока больше не появлялись.
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM, будем добивать заразу.
Ну где же логи, ну где же наши логи?
А вот они:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Сделайте новый лог virusinfo_syscheck.zip и лог MBAMКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFilemask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); DeleteFilemask('C:\WINDOWS','??.bat',false); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\scdll.exe'); DeleteFile('C:\WINDOWS\system32\27.exe '); DeleteFile('C:\WINDOWS\system32\30.exe'); BC_ImportAll; ExecuteSysClean; Executerepair(13); BC_Activate; RebootWindows(true); end.
Еще немного, ее чуть-чуть.
Последний лог - он трудный самый...
Выполните скрипт
Что с проблемой?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\77.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
В C:\WINDOWS батник 75.bat, в C:\WINDOWS\system32 екзешники 30.ехе, 75.ехе и scdll.exe, они же в диспетчере задач, 75.ехе прописан в автозагрузке.
В C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MUJERUQ7 tkhowrof[1].exe.
shem_ar, обновления для системы все установлены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex,
глупый вопрос: а что вы имеете в виду?
Все патчи, которые Microsoft выпустила после выхода SP3
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Боюсь, что нет, так как автоматическое обновление у меня отключено
Ну так устанавливайте. Если система - не лицензия, после установки патча проверки подлинности может потребоваться повторная активация
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) shem_ar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
