Вот такая картина заражения, прошу помощи.
Вот такая картина заражения, прошу помощи.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Documents and Settings\глушко.OFFICE\Главное меню\Программы\Автозагрузка\userinit.exe',''); QuarantineFile('D:\Documents and Settings\глушко.OFFICE\svchost.exe',''); QuarantineFile('D:\Documents and Settings\LocalService\svchost.exe',''); DeleteService('Schedule'); QuarantineFile('d:\windows\system32\drivers\services.exe',''); DeleteFile('d:\windows\system32\drivers\services.exe'); DeleteFile('D:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('D:\Documents and Settings\глушко.OFFICE\svchost.exe'); DeleteFile('D:\Documents and Settings\глушко.OFFICE\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('D:\WINDOWS\system32\vhosts.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
1
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('autorun'); QuarantineFile('c:\huadio.tmp',''); DeleteFile('c:\huadio.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи начиная с пункта 10 правил ...
высылаю...
пофиксите ...
больше ничего плохого ...Код:O20 - Winlogon Notify: arm32reg - D:\WINDOWS\
профиксил, перезагрузился, запустил еще раз HijackThis.exe - в его логе эта строчка осталась...
Остальное вроде нормально. Нет, стоп, служба "Планировщик заданий" исчезла из списка служб....
hijackthis.log сделайте...
вот он
выполните скрипт ...
повторите hijackthis.logКод:begin DeleteFile('arm32reg'); DelWinlogonNotifyByFileName('arm32reg'); DeleteFile('arm32.dll'); DelWinlogonNotifyByFileName('arm32.dll'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 05.08.2008 в 16:00.
прилагаю, не удаляется, зараза...
... попробуйте пуск выполнить regedit ... поиск по реестру arm32reg , затем удалите что найдется ...
Спасибо, удалил...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Socks.fe (DrWEB: Win32.HLLW.Alupco.1)
- d:\\documents and settings\\глушко.office\\svchost.exe - P2P-Worm.Win32.Socks.fe (DrWEB: Win32.HLLW.Alupco.1)
- d:\\documents and settings\\глушко.office\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.fe (DrWEB: Win32.HLLW.Alupco.1)
- d:\\windows\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.fe (DrWEB: Win32.HLLW.Alupco.1)
Уважаемый(ая) gol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.