Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Windows Security Alert (заявка № 13538)

  1. #1
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61

    Thumbs up Windows Security Alert

    Добрый день. Прошу помощи. Все сделал-выкладываю логи. Жду ответа. Спасибо
    Вложения Вложения
    Последний раз редактировалось Shu_b; 26.10.2007 в 09:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Версия AVZ старая - раз. Карантин сюда закачивать не надо - два.
    Исправляйтесь. После этого будем лечить.

    просьба без обид.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Обязательно скачайте свежую версию AVZ - 4.27 и обновите ее базы.

    2. Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe
    F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\pdbcopy.exe,
    O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINXP\system32\vtr.dll (file missing)
    O4 - HKLM\..\Run: [System] C:\WINXP\system32\kernelwind32.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
    O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINXP\csrss.exe
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O20 - AppInit_DLLs: C:\WINXP\system32\sulimo.dat
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\winxp\system32\svchost.exe:exe.exe:$DATA','');
    QuarantineFile('c:\winxp\system32\svchost.exe:exe.exe','');
     QuarantineFile('C:\WINXP\system32\sulimo.dat','');
     QuarantineFile('C:\WINXP\system32\kernelwind32.exe','');
     QuarantineFile('C:\WINXP\system32\WinAvXX.exe','');
     QuarantineFile('C:\WINXP\csrss.exe','');
     QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINXP\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINXP\system32\DefLib.sys','');
     QuarantineFile('c:\winxp\system32\printer.exe','');
     DeleteFile('c:\winxp\system32\printer.exe');
     DeleteFile('C:\WINXP\system32\DefLib.sys');
     DeleteFile('C:\WINXP\System32\drivers\protect.sys');
     DeleteFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\WINXP\csrss.exe');
     DeleteFile('C:\WINXP\system32\WinAvXX.exe');
     DeleteFile('C:\WINXP\system32\kernelwind32.exe');
     DeleteFile('C:\WINXP\system32\sulimo.dat');
    DeleteFile('c:\winxp\system32\svchost.exe:exe.exe:$DATA');
    DeleteFile('c:\winxp\system32\svchost.exe:exe.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    4. Пришлите карантин согласно приложению 3 правил.

    5. Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Вирус не дает доступ к инету для обновлений... (((

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните первые 4 пункта кроме обновления.
    Перед выполнением п.5 выполните еще такой скрипт:
    Код:
    begin
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    После перезагрузки обновление должно пойти.
    В крайнем случае делайте логи без обновления.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Обновился, запускает в Диспетчер задач... Осталась назойливая табличка... Делаю логи..

  8. #7
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Логи... Спасибо. Жду ответа
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINXP\system32\svchost.exe:ext.exe:$DATA','');
    DeleteFile('C:\WINXP\system32\svchost.exe:ext.exe:$DATA');
    
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Загрузить карантин.

    Базы AVZ нужно обновить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    После скрипта от PavelA, внимательно, ничего не пропуская, пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
    O4 - HKLM\..\Run: [rtasks] C:\Program Files\AVSystemCare\rtasks.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    и выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\winxp\system32\printer.exe');
     DeleteFile('C:\Program Files\AVSystemCare\rtasks.exe');
     DeleteFile('C:\Program Files\Common Files\AVSystemCare\bm.exe');
     DeleteFile('C:\WINXP\system32\WinAvXX.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Обновите таки базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Bratez Виноват. Поторопился и пропустил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Жду ответа. Спасибо
    Вложения Вложения
    Последний раз редактировалось drongo; 26.10.2007 в 14:04.

  13. #12

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Опять эта дрянь на месте!

    1. Отключите восстановление системы! (Sorry, раньше не досмотрел).

    2. Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    (Вы случайно не забываете давить кнопочку Fix Checked?)

    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\WINXP\system32\WinAvXX.exe');
     DeleteFile('C:\WINXP\system32\printer.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('FCI');
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    При завершении выскакивает табличка "Скрипт выполнен без ошибок" или нет?

    Логи повторите, начиная с п.10 правил.
    Последний раз редактировалось Bratez; 26.10.2007 в 16:26.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Да, пишет "Скрипт выполнен без ошибок". Востановление не отключил... ((( Сорри.

  16. #15
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Восстановление отключил. Выкладываю логи. Спасибо... Карантин загрузил
    Вложения Вложения

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Что-то зараза никак не удаляется.
    В логе hijack не видно в ключах, зато видно в процессах, а в логах AVZ сидит.
    Для зачистки удаленного:
    Код:
    begin
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А что за странный порядок действий?? По времени выполнения сначала у вас HijackThis, потом syscheck, потом syscure, хотя должно быть в точности наоборот. И содержимое лога HJT не соответствует таковому в логах AVZ.

    Давайте еще раз: выполняем сообщение #13 - сначала фиксим, потом скрипт, между фиксом и скриптом перезагрузку не делать. После скрипта комп перезагрузится сам. Потом перечитываем и выполняем п.10-13 правил, именно в этом порядке. Действуйте.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    25.10.2007
    Сообщений
    9
    Вес репутации
    61
    Замучал, наверное, уже... ((
    Логи. Спасибо. Карантин заливать?
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('c:\winxp\system32\printer.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог AVZ (стандартный скрипт 3 ) ...

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Теперь порядок. Можно закрыть дырки в системе и выписываться.

    @V_Bond я этой строчки в последних логах не вижу. Наверное, надо очки одевать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Maxajmus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. windows security alert
      От scania в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.12.2010, 09:11
    2. Windows security alert
      От Викта в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.10.2009, 21:01
    3. windows security alert
      От Navator в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 14.10.2009, 13:42
    4. Windows Security Alert
      От Nikko_81 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 13.10.2009, 20:31
    5. windows security alert
      От vivienna в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 03.10.2009, 23:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01208 seconds with 18 queries