d.com и IE
Доброго времени суток, не знаю где подцепил вирусы но мой аваст их совсем не обнаруживает...Скрытые файлы комп не показывает (по ходу d.com ), а заодно при запуске браузера IE сразу же при установлении соединения он просто пропадает и всё, чё делать уже не знаю, прилагаю логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да вижу я что не приложились, пишет напостой ошибка загрузки, а эти правила скоро уже наизусть выучу...IE не работает, а ОПЕРА И МАЙ ИЕ 2 глючит :-(
кажись получилось
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O21 - SSODL: UpdateCheck - {D51CAE37-E6FA-4785-A321-E3D18C0A28B7} - C:\WINDOWS\system32\mstmdm.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\rootmdw.sys',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\DRIVERS\rootmdw.sys'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Поищите sockspy.dll через AVZ - Сервис - Поиск файлов на диске
и добавьте в карантин.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16588).
Сделайте новые логи.
I am not young enough to know everything...
Сделал всё как написано, положительных результатов нет,скрытые файлы всё так же не вижу зато EI при запуске теперь сильно нагружает комп, а потом выпадает стандартная извинялка с предложением отправить отчёт в логово маздая...sockspy.dll у меня AVZ не нашла,посему в карантин ничего не поместил и отправлять тожа нечего, присылаю новые логи :-(
Кстати говоря, а что, аватары на этом форуме удел избранных ?
мой кабинет - изменить аватар
Анимированные - нельзя, выше положенного размера - тоже
Парни, я прочитал ваши правила раз по 5 каждое, сделал всё как там написано, зачем вы мне каждый раз даёте ссылки на них ???
Это я понимаю, но чё-то не получается ... Чё тут выбрать-то надо (>>1.jpg) ?Сообщение от rubin
Для аватара у вас сообщений маловато
В карантине помимо sockspy.dll еще много всего.sockspy.dll у меня AVZ не нашла,посему в карантин ничего не поместил и отправлять тожа нечего
Зараза у вас приходит с флэшки, или др. съемного носителя, который диск М:.
1. Отключите восстановление системы.
2. Съемный диск, который стоял при выполнении последних логов подключите.
3. Выполните скрипт в AVZ:
4. Все содержимое карантина пришлите по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('M:\autorun.inf'); DeleteFile('C:\m1t8ta.com'); DeleteFile('D:\m1t8ta.com'); DeleteFile('M:\m1t8ta.com'); DeleteFile('D:\n1deiect.com'); DeleteFile('M:\n1deiect.com'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16588).
5. Сделайте логи еще раз (диск M: пусть так и стоит).
I am not young enough to know everything...
Сделал всё как сказали, скрипты выполнил, в карантине 3 папки за 5, 18, 20 января, закачал по правилам все 3 (весят они правда некисло), заодно последние логи... ;-)
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\863E~1\LOCALS~1\Temp\{C49B4A5F-175D-4699-B008-23AC75D8C73A}\{EEBA94 16-3207-47E0-9022-116440599DBC}\P2006tmp\Install.exe',''); QuarantineFile('M:\xn1i9x.com',''); QuarantineFile('L:\m1t8ta.com',''); QuarantineFile('L:\xn1i9x.com',''); QuarantineFile('D:\xn1i9x.com',''); DeleteFile('C:\xn1i9x.com'); DeleteFile('D:\xn1i9x.com'); DeleteFile('L:\xn1i9x.com'); DeleteFile('L:\m1t8ta.com'); DeleteFile('M:\xn1i9x.com'); DeleteFile('L:\autorun.inf'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
IE теперь запускается и скрытые файлы просматриваются. Спасибооо :-)))
в логах ничего зловредного ...
что из этого нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого нужно ?
Хотел бы я знать чё это ваще такое ???
понятно ...
компьютер домашний/ рабочий?
локальная сеть есть\ нет ?
компьютер домашний, локалки как таковой нет,только от ДОМ.РУ
выполните скрипт ..
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end
Уважаемый(ая) gss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
