Проверьте и пропишите лечилку, пожалуйста...
Логи прикрепил...
Проверьте и пропишите лечилку, пожалуйста...
Логи прикрепил...
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
1. Отключить восстановление системы
2. Профиксить в HijackThis:
3. Найти через AVZ и прислать через ссылку вверху темы:Код:3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O20 - Winlogon Notify: arm32reg - C:\WINDOWS\ O21 - SSODL: VStorage - {16EF334C-0775-474C-8F5E-03445E076A93} - swmclip.dll (file missing)
Код:C:\Program Files\Common Files\Microsoft Shared\Windows Vista Sourcecode.doc.pif C:\Program Files\Common Files\MSSoap\Binaries\Resources\From me with love.scr C:\Program Files\Common Files\MSSoap\Binaries\Resources\Saddam Hussein.jpg.exe C:\Program Files\Common Files\MSSoap\Binaries\Resources\Taliban.pif C:\Program Files\Common Files\ODBC\Data Sources\anthrax.doc.exe C:\WINDOWS\Temp\startdrv.exe arm32.dll
Последний раз редактировалось drongo; 27.06.2007 в 15:09.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В добавок к сообщению Павла, поменять пароли на всё - у вас было пару вариантов пинча.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\nwiz.exe',''); QuarantineFile('C:\WINDOWS\system32\Mstray.exe',''); QuarantineFile('C:\WINDOWS\Mstray.exe',''); QuarantineFile('C:\WINDOWS\system32\yes.exe',''); QuarantineFile('C:\WINDOWS\system32\swmclip.dll',''); QuarantineFile('C:\WINDOWS\system32\WEB\KI.exe',''); QuarantineFile('C:\WINDOWS\WEB\KI.exe',''); QuarantineFile('C:\WINDOWS\yes.exe',''); BC_ImportQuarantineList; BC_LogFile(GetAVZDirectory + 'boot_copy.log'); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10666
boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу
Последний раз редактировалось drongo; 27.06.2007 в 15:06.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
сделал все как посоветовали: профиксил и прописал скрипты, выслал карантин, но вот поиск через АВЗ мало что дал: находит только C:\WINDOWS\Temp\startdrv.exe (я его прикрепил последним файлом к карантину). Остальное же через АВЗ не находится, искал через стандартную функцию в Пуске "Найти" - видит это всё в указанных местах...
что делать дальше? логи новые выслать?
новые логи...
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
что делать????!!!! игнор??
Не так быстро. Думаем
I am not young enough to know everything...
Во-первых, у вас поражение червем Rays, его вылечить с помощью AVZ проблематично, но с этим легко справится любой антивирус. Можно например установить пробную версию Касперского 6.0, обновить базы и сделать полную проверку компьютера.
Во-вторых, виден дроппер C:\WINDOWS\Temp\startdrv.exe, обычно сопутствующий руткиту runtime, а самого руткита не наблюдается.
Тем не менее, выполните такой скрипт:
В-третьих, пофиксите в HijackThis:Код:begin BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_Activate; Rebootwindows(true); end.
Проделайте вышеозначенное в указанном порядкеКод:O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [RavTimeXP] \WEB\KI.exe O4 - HKLM\..\Run: [RavTimXP] \Mstray.exe
и сделайте новые логи.
Последний раз редактировалось Bratez; 27.06.2007 в 18:51. Причина: дополнил
I am not young enough to know everything...
Выполнил рекомендации, что еще нужно?
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
Похоже, только скрипт выполнили и больше ничего. Антивируса никакого не видно. Даже строчка с (no file) не пофикшена. Если Касперского не хотите устанавливать, хотя бы скачайте свежий CureIt и сделайте полную проверку компьютера, лучше в безопасном режиме. Перед проверкой подключите свои съемные носители (флэшку, мп3-плеер и др.) чтобы они тоже были проверены.
По окончании пофиксите то, что было указано выше.
I am not young enough to know everything...
Почистился с помощью CureIt, сделал новые логи, но вот когда собираюсь про фиксить тот самый п.3, то не видно в списке тех трех строчек... и еще такой вопрос, после всего лечения карантин удалять?
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
Теперь логи чистые.
Один маленький вопрос: в hosts вот это сами прописывали? -
Если нет, сделайте в AVZ Файл - Восстановление системы -Код:127.0.0.1 webmoney.ru 127.0.0.1 www.webmoney.ru 127.0.0.1 arbitrage.webmoney.ru 127.0.0.1 www.arbitrage.webmoney.ru
отметьте п.13 и нажмите Выполнить.
Карантин удалите.
I am not young enough to know everything...
Сделайте.Делать таки восстановление с п.13?
Если вас больше ничего не беспокоит, тогда всё.
I am not young enough to know everything...
Уважаемый(ая) punk_prankster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.