Показано с 1 по 12 из 12.

Почистил комп, а вдруг что осталось? (заявка № 12583)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    63

    Thumbs up Почистил комп, а вдруг что осталось?

    Добрый день, люди добрые...
    Почистил сегодня ноут, когда мне его принесли и попросили помочь, он не запускался вообще... потом после вычесывания CureIt в безопасном режиме и удаления всяких autorun-ов из корня C:\ ноут загрузился... повторно CureIt вычистил 270 пораженных обьектов. Это при том что на нем установлен Semantec Antivirus. Гляньте плиз, наверняка там еще гадость осталась...
    Последний раз редактировалось Antonnio; 04.12.2007 в 13:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('c:\windows\system32\iexpress.dll','');
     QuarantineFile('SP00LSV.EXE','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Osbk47.sys','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\Osbk47.sys');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

    Добавлено через 2 минуты

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\iexpress.dll (file missing)
    O4 - HKLM\..\Run: [SP00LSV.EXE] SP00LSV.EXE
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
    Добавлено через 2 минуты

    По поводу "авторанов" - почитайте это, думаю, будет нелишним выполнить описанную там процедуру.
    Последний раз редактировалось Bratez; 19.09.2007 в 14:48. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    63
    да, спасибо, среди всего прочего был и Virus.VBS.Small.a...
    все что по ссылке сделал...
    карантин:
    Файл сохранён как 070919_062320_virus_46f106a81bee3.zip
    Размер файла 6093427
    MD5 68fbcd0fac09065c2ddd94b42fa1ae9d

    кстати комп после выполнения скрипта перезагружался минут 5...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    QuarantineFile('C:\infrom.exe','');
    QuarantineFile('D:\infrom.exe','');
    DeleteFile('C:\autorun.inf');
    DeleteFile('C:\infrom.exe');
    DeleteFile('D:\autorun.inf');
    DeleteFile('D:\infrom.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки пришлите если что-то попадет карантин
    и сделайте новые логи, посмотрим, что получилось.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    63
    выдает ошибку в позиции 3:15

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пардон, исправил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    63
    в карантин на сей раз ничего не попало...
    сделал новые логи.
    Последний раз редактировалось Antonnio; 04.12.2007 в 13:10.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Вы не отключали восстановление системы - сделайте это сейчас, там сохранились копии зловредов.

    2. Для разблокировки Диспетчера задач сделайте в AVZ:
    Файл - Восстановление системы - п.11 - Выполнить.

    3. Посмотрите, что вы используете из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    остальное исправим.

    Больше ничего плохого в логах не видно.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    63
    Виноват, забыл про восстановление системы... отключил.
    службы эти можно убить...
    диспетчер задач разблокировал...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    службы эти можно убить...
    Хорошо, тогда выполните скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    На этом лечение окончено.
    Учитывая несвоевременное отключение восстановления системы, надо сделать еще раз все логи, дабы убедиться, что все в порядке.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    63
    вот логи, еще раз спасибо за помощь!
    Последний раз редактировалось Antonnio; 04.12.2007 в 13:10.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все чисто.
    I am not young enough to know everything...

  • Уважаемый(ая) Antonnio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. осталось ли чего после чистки от зверей?
      От Kolya_Od в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.12.2009, 18:56
    2. Ответов: 2
      Последнее сообщение: 11.12.2009, 14:21
    3. Почистил бук от вирусов, но что-то осталось
      От edward_1 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:50
    4. Полечил комп, возможно что-то осталось
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.09.2008, 13:28
    5. Ответов: 7
      Последнее сообщение: 23.07.2008, 08:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00233 seconds with 19 queries