При проверке обычным антивирусом завис и не подавал признаков жизни
AVZ прошел нормально
вот логи
посмотрите плиз
При проверке обычным антивирусом завис и не подавал признаков жизни
AVZ прошел нормально
вот логи
посмотрите плиз
Выполните скрипт в AVZ"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('krnllds', 4); SetServiceStart('Tmi33', 4); QuarantineFile('C:\WINDOWS\mmhren1.exe',''); QuarantineFile('C:\WINDOWS\system32\krnllds.sys',''); QuarantineFile('C:\WINDOWS\system32\ibuntu.dll',''); DeleteFile('C:\WINDOWS\system32\ibuntu.dll'); DeleteFile('C:\WINDOWS\system32\krnllds.sys'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('C:\WINDOWS\system32\netrfds319.exe'); DeleteFile('C:\WINDOWS\system32\netrfds364.exe'); BC_ImportALL BC_DeleteSvc('krnllds'); BC_DeleteSvc('Tmi33'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.Загрузите карантин согласно приложению №3 правил. Повторите логи.Код:R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apeha.ru/ F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - HKLM\..\Run: [WMedia32] wmedia32.exe O20 - Winlogon Notify: ibuntu - C:\WINDOWS\SYSTEM32\ibuntu.dll
карантин загрузил
логи повторяю
Выполните скрипт в AVZПовторите лог virusinfo_syscheck.zip.Код:begin DelAutorunByFileName('C:\WINDOWS\mmhren1.exe'); RebootWindows(true); end.
повторяю лог
Выполнить скрипт:
Повторить лог из п.10Код:begin DeleteFile('C:\WINDOWS\mmhren1.exe'); SysCleanAddFile('C:\WINDOWS\mmhren1.exe'); ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
лог
C:\WINDOWS\mmhren1.exe - через AVZ поискать вот этот файл.
Если найдется прислать по Правилам (через карантин).
Что-то строчка в реестре чиститься не хочет
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Попробуем еще извращенней...
AVZ - сервис - поиск данных в реестре - ищем все упоминания о mmhren1.exe
Microsoft Most Valuable Professional in Consumer Security
такого файла нет
зато есть скрытый файл в папке Windows с названием mmax_hren2.ini
удалить его?
Upd: поиск данных в реестре ничего не дал
Последний раз редактировалось Noise_Unit; 14.02.2008 в 13:36.
Да только перед этим пришилите нам по правилам
Microsoft Most Valuable Professional in Consumer Security
файл прислал mmax_hren2.zip
файл из папки Windows удалил
сейчас перезагружусь и еще раз проверю наличие файлов на диске
В этом ini ничего интересного нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
прогоняю сейчас Avira Antivir
полет нормальный вирей нет
Upd: все отлично, всем спасибо, вирус больше не беспокоит
Последний раз редактировалось Noise_Unit; 14.02.2008 в 14:40.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ibuntu.dll - Trojan-Proxy.Win32.Agent.ze (DrWEB: Trojan.Proxy.2756)
- c:\\windows\\system32\\krnllds.sys - Trojan-Proxy.Win32.Agent.ze (DrWEB: Trojan.NtRootKit.791)
Уважаемый(ая) Noise_Unit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.