Где то подцепил его...юзает трафик постоянно. еще каспер ругался на wjview.exe но может это что то другой. Помогите разобраться и излечиться Заранее спс.
не могу прикреписть логи...что делать ?
не дает загружать
Где то подцепил его...юзает трафик постоянно. еще каспер ругался на wjview.exe но может это что то другой. Помогите разобраться и излечиться Заранее спс.
не могу прикреписть логи...что делать ?
не дает загружать
Последний раз редактировалось Moroes; 07.12.2007 в 14:32.
Кнопочку Загрузить не забыли нажать?
I am not young enough to know everything...
Результат загрузки
Эта страница предназначена только для загрузки подозрительных файлов которые Вас попросили прислать.
Логи нужно прикреплять к сообщениям на форуме.
Спасибо что читаете правила и делаете всё так как Вас попросили, а не как попало.
а вложения просто не открывает
Нажимаем "Ответить", потом внизу "Управление вложениями", кнопками "Обзор..." выбираем файлы, жмем "Загрузить". Так делали?
I am not young enough to know everything...
оказывается все было просто: Blocked Pop-Up
Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:21.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrSvc('ctl_w32'); BC_QrSvc('runtime'); BC_DeleteSvc('ctl_w32'); BC_DeleteSvc('runtime'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_Activate; RebootWindows(true); end.
Выполните еще один скрипт:
Поищите вручную файл wjview.exe и добавьте в карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sM4qAH4Y.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); QuarantineFile('C:\WINDOWS\system32\wmedia32.exe',''); DeleteFile('C:\WINDOWS\system32\wmedia32.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\sM4qAH4Y.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Удалите все задания в Планировщике.
Сделайте новые логи.
I am not young enough to know everything...
wjview не нашел...скрипты выполнил...делаю новые логи, и вот хотел еще спросить, по логам не видно нет ли еще какой бяки?
Выкладываю новые логи...пока не могу проверить опаздываю завтра отпишусь. Спасибо
Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:21.
Пофиксьте:
Выполните скрипт:Код:O4 - HKLM\..\Run: [WMedia32] wmedia32.exe O9 - Extra button: (no name) - DctMapping - (no file)
После перезагрузки повторите лог hijackthis.Код:begin SysCleanAddFile('wjview.exe'); SysCleanAddFile('wmedia32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'EbatesMoeMoneyMaker'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WMedia32'); DeleteFile('wmedia32.exe'); ExecuteSysClean; RebootWindows(true); end.
Вот эту штуку удалите:
Посмотрите, что вам нужно из этого списка:C:\Program Files\NavExcel\NavHelper\v2.0.4c\v2.0.4c.cab/{CAB}/NHelper.htm >>>>> Spy.NavExcel
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> разрешена потенциально опасная служба TermService (Службы терминалов) >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> разрешена потенциально опасная служба Schedule () >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Добавлено через 2 минуты
Карантин вы так и не прислали. Его надо загрузить через эту форму:
http://virusinfo.info/upload_virus.php?tid=14973
(см. приложение 3 правил).
Последний раз редактировалось Bratez; 07.12.2007 в 16:17. Причина: Добавлено
I am not young enough to know everything...
хайджек после фикса...скрипт забыл...сек
карантин показывает что пустой...
Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:20.
Для пущей стерильности еще это можно пофиксить:
Код:O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
I am not young enough to know everything...
а список служб я не знаю что за что отвечает, а следовательно не знаю что мне нужно...подскажите позжалуйста за что они все отвечают
В принципе можно безболезненно отключить все.
Вот таким скриптом:
Если есть локалка с общим доступом к файлам и принтерам, уберите красную строчку. Если автозапуск CD жалко - уберите зеленую .Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Огромное спасибо за помощь и советы.
Карантин выслал. вот хайджек после всех указанных фиксов и скриптов...
С уважением, Moroes
Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:22.
В логе все нормально.
Если что, заходите еще .
I am not young enough to know everything...
Спасибо за приглашение на днях заскочу еще...у меня дома локалка, вот на втором компе видимо все еще хуже...буду рад если с ним тоже поможете
С уважением, Moroes
Минутку! В карантине Ip6Fw.sys - Rootkit.Win32.Agent.pr!
Мы с вами его не удаляли, хотя из логов он испарился...
Сейчас напишу скрипт.
Добавлено через 2 минуты
Вот, выполните:
Будет время - сделайте еще раз полный комплект логов для успокоения душиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 07.12.2007 в 16:49. Причина: Добавлено
I am not young enough to know everything...
Еще раз спс. сприптик сделал. завтра приду сделаю еще раз все логи и в эту же тему выложу.
С уважением, Moroes
Вот финальные логи...что то нашлось еще (после обновления АВЗ)
Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:23.
Уважаемый(ая) Moroes, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.