Full Member
Вес репутации
64
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Full Member
Вес репутации
64
Я вас очень прошу! Посмотрите, пожалуйста, логи!
Добавлено через 1 час 9 минут
Как я понимаю, компьютер чист?
Последний раз редактировалось ghostil; 14.07.2008 в 14:58 .
Причина: Добавлено
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: datcom - datcom.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('datcom.dll','');
QuarantineFile('E:\Program Files\Internet Explorer\SETUPAPI.dll','');
BC_ImportQuarantineList;
BC_DeleteSvc('Winyf73');
BC_DeleteSvc('Winxd51');
BC_DeleteSvc('Winsy40');
BC_DeleteSvc('Winnt73');
BC_DeleteSvc('Winjp38');
BC_DeleteSvc('Winag84');
BC_DeleteSvc('Qjer46');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=26450 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Full Member
Вес репутации
64
Full Member
Вес репутации
64
Сделал логи. Закачал карантин. Посмотрите, пожалуйста, логи!
Вложения
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\System32\Drivers\Winyf73.sys','');
BC_DeleteSvc('Winyf73');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winxd51.sys','');
BC_DeleteSvc('Winxd51');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winsy40.sys','');
BC_DeleteSvc('Winsy40');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winnt73.sys','');
BC_DeleteSvc('Winnt73');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winjp38.sys','');
BC_DeleteSvc('Winjp38');
BC_DeleteSvc('Winag84');
QuarantineFile('E:\WINDOWS\System32\Drivers\Winag84.sys','');
DeleteFile('E:\WINDOWS\System32\Drivers\Winag84.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winjp38.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winnt73.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winsy40.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winxd51.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winyf73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
Full Member
Вес репутации
64
карантин закачал
Добавлено через 34 секунды
Логи, к сожалению, смогу только завтра с утра выложить.
Последний раз редактировалось ghostil; 14.07.2008 в 15:44 .
Причина: Добавлено
Full Member
Вес репутации
64
Успел сделать логи, посмотрите их, пожалуйста!
Вложения
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
Full Member
Вес репутации
64
Выполнил скрипт, выкладываю логи. Посмотрите их, пожалуйста.
Вложения
Full Member
Вес репутации
64
Скажите пожалуйста, логи чистые?=)
Я ничего плохого не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Full Member
Вес репутации
64
Спасибо большое за ответ и помощь!!!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
e:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.dgu (DrWEB: Trojan.DownLoad.1131)