Закачал логи
Закачал логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закачивать логи не нужно,их нужно прикрепить к вашему сообщению
Вложил
Последний раз редактировалось OlegXON; 02.12.2007 в 22:29.
профиксите
выполните скриптКод:O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file) O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\ O20 - Winlogon Notify: rpcc - C:\WINDOWS\ O23 - Service: ASP.NET State Service aspnet_stateseclogon (aspnet_stateseclogon) - Unknown owner - C:\WINDOWS\system32\exporth.exe (file missing) O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\fci.exe (file missing)
пришлите карантин согласно приложения 3 правил ....Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('%systemroot%\system32\tscupgrd.exe',''); QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо. Но к компу попаду только в субботу вечером, тогда все сделаю и отпишусь. Надеюсь хуже не будет, т.к. дома остается жена, комп и интернет(и не дай бог новые вирусы). Еще раз спасибо.
Закачал карантин.
Эта строчка не пофиксилась
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
куда? Сервер после переезда еще не совсем в порядкеСообщение от OlegXON
.
Только эта? Хайджек-Лог повторите плз.Эта строчка не пофиксилась
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
А как содержимое карантина отправить?
Последний раз редактировалось OlegXON; 02.12.2007 в 22:29.
@OlegXON
у меня такое ощущение, что Вы за эти 2 дня еще кучу всякой дряни наловили. Придется начинать сначала - все логи в студию, плиз.
Новые логи
Последний раз редактировалось OlegXON; 02.12.2007 в 22:29.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\WINDOWS\system32\xuser.exe',''); BC_ImportALL; BC_Activate; RebootWindows(true); end.
Прислать прошлый и новый карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11883
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\ O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Не пофиксилось
вот 1 рекомендация по поводу 1_32bean32_1reg http://www.z-oleg.com/secur/virlist/vir1153.php
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\rpcc.dll',''); DeleteFile('C:\Windows\system32\rpcc.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
если файл попадёт в карантин то прислать его согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11883
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Последний раз редактировалось Muzzle; 27.08.2007 в 09:06.
Ничего.
Выделяю нажимаю Fix и ничего
Добавлено через 11 минут
А карантин закачался?
Последний раз редактировалось OlegXON; 27.08.2007 в 09:12. Причина: Добавлено
Выполните рекомендации,данные выше,последний карантин который вы загрузили Вс Авг 26 23:56:51 File size 1307637 и он скорей всего чистый,нужен ещё карантин который появился сегодня.
Последний раз редактировалось Muzzle; 27.08.2007 в 12:00. Причина: отпечатка %)
Хорошо сегодня вечером сделаю. Закачивал оба карантина и вчерашний и сегодняшний. Просто имя файла одно, наверное надо было переименовать один из них. А то я сначала послал сегодняшний, а потом вчерашний.
Добавлено через 9 часов 21 минуту
Закачал сегодняшний карантин
Последний раз редактировалось OlegXON; 27.08.2007 в 20:25. Причина: Добавлено
c:\WINDOWS\system32\xuser.exe Trojan-Spy.Win32.Webmoner.do
выполните скрипт...
смените пароли к кошелькам ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\WINDOWS\system32\xuser.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Скрипт выполнил
Пароли сменил
Новые логи
Последний раз редактировалось OlegXON; 02.12.2007 в 22:28.
c:\windows\system32\winlogon.exe-слегка патченный по моему 21 августа 2007 года .Прислать на исследования
Я бы заменил на оригинальный
hosts почистить надо
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
hosts почистил
winlogon.exe выслал
Добавлено через 1 час 5 минут
Что-то еще сделать?
Последний раз редактировалось OlegXON; 28.08.2007 в 00:59. Причина: Добавлено
Уважаемый(ая) OlegXON, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
