Здравствуйте, моя проблема: при подключении интернета идет постоянная закачка неизвестно чего, странные процессы занимающие много оперативной памяти mmall2.exe и mmbin.exe.
Здравствуйте, моя проблема: при подключении интернета идет постоянная закачка неизвестно чего, странные процессы занимающие много оперативной памяти mmall2.exe и mmbin.exe.
Выполните скрипт в AVZ:
После перезагрузки еще один:Код:begin BC_QrSvc('runtime'); BC_QrSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\System32\windres.exe',''); QuarantineFile('D:\WINDOWS\System32\codeblocks.exe',''); QuarantineFile('D:\DOCUME~1\NEO\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('D:\WINDOWS\mmall2.exe',''); DeleteFile('D:\WINDOWS\mmall2.exe'); DeleteFile('D:\DOCUME~1\NEO\LOCALS~1\Temp\winlogon.exe'); DeleteFile('D:\WINDOWS\System32\codeblocks.exe'); DeleteFile('D:\WINDOWS\System32\windres.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
карантин прислал.
логи:
В карантине только mmall2.exe - Trojan-Downloader.Win32.Agent.feg
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F3 - REG:win.ini: run=D:\WINDOWS\mmall2.exe F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\System32\windres.exe,D:\WINDOWS\System32\codeblocks.exe, O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [Microsoft all2] D:\WINDOWS\mmall2.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Microsoft all2] D:\WINDOWS\mmall2.exe O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\NEO\LOCALS~1\Temp\winlogon.exe
Повторите лог HijackThis.Код:begin BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Нужно скачать winsockxpfix, пока не запускать. Запомнить/записать настройки локальной сети.
Выполнить скрипт:
Запустить winsockxpfix, нажать "fix". Компьютер будет тупить, но после перезагрузки и заведения параметров сети заново все наладится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\WINDOWS\System32\t0.dll',''); DeleteFile('D:\WINDOWS\System32\t0.dll'); BC_DeleteFile('D:\WINDOWS\System32\t0.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если что-то попадет в карантин, то прислать.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Следует отключить все, что вам не нужно из этого списка:
(это потом, в конце лечения).Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
I am not young enough to know everything...
Карантин выслал. новые логи сделал. жду дальнейших указаний
Выполняйте указания Bratez из №6. В логах ничего вредного не вижу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В логах чисто. Если проблем больше нет, осталось выполнить профилактические мероприятия, а именно:
1. Срочно исправить вот это:
т.е. поставить SP2 + последующие обновления.Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
2. См. сообщение #6: скажите что нужно, остальное отключим скриптом.
I am not young enough to know everything...
Впринципе всякие оповещатели и службы сообщений мне вообще никчему, компьютер домашний и кроме выхода в инет мне всякие финтифлюшки ненужны, тем более если они небезопасны... винду переставлю в ближайшее время. И ещё: сможет ли др.Веб сейчас обеспечить мне безопасность от повтора такого недоразумения?
этот скрипт закрывает все уязвимости ....
насчет антивируса .... в вашем случае виноват не он, на вашей дырявой системе не справится ни один ... обновляйтесь ...Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('Messenger', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Всем большое спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\mmall2.exe - Trojan-Downloader.Win32.Agent.feg (DrWEB: Trojan.DownLoader.36532)
Уважаемый(ая) Spit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.