Наконец отлечили бухгалтерский комп.
Наконец отлечили бухгалтерский комп.
Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\blink\blink.exe',''); QuarantineFile('C:\Program Files\Blink\home.js',''); QuarantineFile('C:\WINXP\MS32DLL.dll.vbs',''); DeleteFile('C:\WINXP\MS32DLL.dll.vbs'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
пофиксить
E:\Setup.exe - вам знаком?Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=waterfalls1aw&g=1&pc=&bd1=61&bd2=60&bd3=177&ipc=RU&sd1=5 5&sd2=54&sd3=207 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla O14 - IERESET.INF: START_PAGE_URL=about:blank
Последний раз редактировалось Muzzle; 12.07.2007 в 04:50. Причина: добавил
скрипт - выполнен
карантин - выслан
профиксино
E:\Setup.exe - эээ... E - это сидиром... пустой...
Добавлено через 1 час 45 минут
ну как там? все плохо?
Последний раз редактировалось totoshka; 12.07.2007 в 12:28. Причина: Добавлено сообщение
[I]Лень - это привычка отдыхать заблаговременно...[/I]
MS32DLL.dll.vbs - Worm.VBS.Solow.a
его мы удалили,про остальные файлы, подождём ответ от ЛК
Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)... Аваст просканировал диски... И нашел опять MS32DLL.dll.vbs на С и на D (в корнях)....
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме CureIT.
еще раз? ну ладно... логи еще раз выслать?
CureIt уже эти файлы находил, удалял, потом в AVZ их удаляли, и после всего этого Аваст их снова нашел... не такой уж он видать и бесталковый... на самом деле его поставили только потому что платные антивирусы детская областная библиотека на все свои компы не потянет, если есть какой-нить бесплатный лучше Аваста - посоветуйте, плииз... А то сами знаете, проверки решили устроить всем по поводу лицензионных прог...
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Давайте.
Надо еще разок поискать и поудалять autorun
Диски сетевые подключенные есть? Если да, то отключить. Может пролезть с другого зараженного подобным вирусом.Every 200 seconds VBS/Solow-A enumerates available devices in attempt to copy itself with the filename MS32DLL.DLL.VBS and to create the file autorun.inf that contains instructions to autorun the copy of the worm once infected drive is accessed. This file should be deleted.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сейчас комп не подключен, а до этого был в доменной сети. Сейчас идет повторная проверка CureIt: удален autorun.inf с диска С,D, найдены Program.SrvAny в system32 и Blink.dll как возможный Dloader троян... Сейчас убивается карантин AVZ с прошлой проверки...
MountPoint2 удаляли, но autorun'ы не находили.....
...проверка продолжается....
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Логи повторной проверки:
Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Диски открываются? И как вообще ощущение после лечения.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
да, диски все открываются... ощущения... да вроде все нормально... только вот... "вроде все нормально" было и до этого... в смысле до повторного повторения всех операций... пока поставленный на будующее аваст не нашел все то же самое, что вроде как удалили уже удалили до этого..... все ли удалилось на этот раз? вылечен все таки комп или нет? можно возвращать бухгалтерам его?
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Оба съемных дисков, что у нас есть, постоянно проверяются на наличие autorun.*
Однако на компе постоянно генерятся в реестр MountPoint2 - это нормально?
Др Веб находит:
srvany.exe в ...system32 и оставляет без лечения
SpyBot Search And Destroy нашел проблены и я их исправила. но затем AdAware2007 опять нашел вот это:
PS: В AdAware это исправлять не стала, ибо был печальный опыт.Код:Family Id: 791 Name: WhenU.SaveNow Category: Misc TAI:4 Item Id: 300016914 Value: Root: HKCR Path: wusn.1
Добавлено через 9 минут
Какие нибудь новости есть?
Последний раз редактировалось totoshka; 13.07.2007 в 03:06. Причина: Добавлено сообщение
[I]Лень - это привычка отдыхать заблаговременно...[/I]
srvany.exe - эт кусок от кряка windows SP1 ,т.к у вас SP2 можете его удалить,у него есть ещё и корешь resetserice.exe
давайте попробуем почистить следы autorun`ов с помощью утилитки anti_autorun
Результат проги:
Мой личный - чист, испытуемый - чист.
Последний раз редактировалось totoshka; 13.07.2007 в 03:21.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
Давайте уберём этот Blink.
C:\Program Files\Blink\blink.dll - Backdoor.Win32.Agent.aqr (по Касперскому)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\program files\blink\blink.exe'); DeleteFile('C:\Program Files\Blink\blink.dll'); BC_DeleteFile('c:\program files\blink\blink.exe'); BC_DeleteFile('C:\Program Files\Blink\blink.dll'); BC_DeleteSvc('Blink Service'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логиКод:O9 - Extra button: Go to Blink - {95F6242A-62E4-4756-892F-F5D5D399CA25} - C:\Program Files\Blink\home.js O23 - Service: Blink Service - Unknown owner - C:\Program Files\Blink\blink.exe" "C:\Program Files\Blink\blink.dll" Service (file missing)
Давайте, правда у него uninstall есть ... Ну думаю AVZ надежнее будет ... ушла в процесс
Такой момент вот тут http://virusinfo.info/showthread.php?t=8877 указано как боротся с этими авторанами.
Немного не понятно - нужна ли запятая после C:\WINDOWS\system32\userinit.exe ?а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.
Последний раз редактировалось totoshka; 13.07.2007 в 03:39.
[I]Лень - это привычка отдыхать заблаговременно...[/I]
нет, запятая не нужна.
Уважаемый(ая) totoshka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.