Здравствуйте!
Если можно, посмотрите, пожалуйста, все ли чисто ?
Спасибо
Валерий
Здравствуйте!
Если можно, посмотрите, пожалуйста, все ли чисто ?
Спасибо
Валерий
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
virusinfo_cure.zip - карантин...удалите
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\DrUpdate\drupdate.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Пофиксить в HijackThis следующие строчки
Это вы вносили измнения в O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? Если нет необходимо пофиксить.Код:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
Код:O15 - Trusted Zone: http://*.123sdfsdfsdfsd.ru O15 - Trusted Zone: http://*.capitaller.ru O15 - Trusted Zone: http://*.enum.ru O15 - Trusted Zone: http://*.exchanger.ru O15 - Trusted Zone: http://*.inetlog.ru O15 - Trusted Zone: http://*.mail.ru O15 - Trusted Zone: http://*.megastock.com O15 - Trusted Zone: http://*.megastock.ru O15 - Trusted Zone: http://valkib.narod.ru O15 - Trusted Zone: http://*.narod.ru O15 - Trusted Zone: http://*.oplata.info O15 - Trusted Zone: http://*.paymer.com O15 - Trusted Zone: http://*.publicant.ru O15 - Trusted Zone: http://*.sape.ru O15 - Trusted Zone: http://*.softactivation.com O15 - Trusted Zone: http://*.telepat.ru O15 - Trusted Zone: http://*.volgodonsk.ru O15 - Trusted Zone: http://*.webmoney.ru O15 - Trusted Zone: http://*.wmkeeper.com O15 - Trusted Zone: http://*.wmtransfer.com O15 - Trusted Zone: http://*.yandex.ru O15 - Trusted IP range: http://192.168.51.1
Microsoft Most Valuable Professional in Consumer Security
Простите, но я не понял, что значит "отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)" . Я отправил архив quarantine.zip нажав на крассную ссылку вверху "Прислать запрошенный карантин". Это то, что нужно?
В 015 все надежные узлы , прописанные мной.
Ты сделал правильно. АкОк неудачно скопировал свое сообщение
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ок , Павел!
Все ли теперь чисто у меня на компе?
Вот, пожалуйста, высылаю логи.
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('Explorer.exe csrcs.exe',''); DeleteFile('Explorer.exe csrcs.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
сделал
странно, система говорит: virusinfo_syscure.zip:
Вы уже вложили этот файл в теме
Но во воложении его не вижу ((
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
Повторил стандартный скрипт 3. И сделал еще раз логи.
Еще одна заковыка. Ставлю DrWeb . Жучек в трее появился с крестиком. Проверяю папку C:\Program Files\DrWeb\ cureit-ом и он сообщает о зараженности файла spidernt.exe - "инфицирован Win32.HLLM.Limar.origin и не может быть исцелен".
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
В логах чисто, отправьте файл spidernt.exe аналитикам Доктора,если файл действительно заражен, они должны подкрутить лечение...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\csrcs.exe - Trojan.Win32.Autoit.ey (DrWEB: Trojan.Siggen.259)
Уважаемый(ая) ВалерийК, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.