Здравствуйте,
Нод чего-то находил.
Проверьте, пожалуйста, логи.
Здравствуйте,
Нод чего-то находил.
Проверьте, пожалуйста, логи.
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:37.
C:\WINDOWS\system32\06.scr - пришлите по второму пункту правил,
скачайте в моей подписи special avz, включите avzpm и сделайте с ним лог virusinfo_syscure.zip
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Сделай лог Гмера.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
включение avzpm - неактивно.
лог прилагаю
запрошенный файл: Файл сохранён как 090317_184348_virus_49bfc5347f5c8.zip
Про Гмер не понял, что это?
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:37.
http://virusinfo.info/showthread.php?t=40118
Неуспешный карантин через AVZ - попробуйте в безопасном режиме найти этот C:\WINDOWS\system32\06.scr , интересно что это
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
вот
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:37.
nod отключали перед запуском gmer?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пришлось в прошлый раз отложить процедуру, но проблема осталась.
Привожу новые логи просто по правилам
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:37.
и с помощью авз из подписи и гмера с выключенным нодом.
ну что, что-нибудь прояснилось? а то 15 минут осталось...потом придется выключить комп и уйти отсюда.
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:37.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\MsSip3.dll',''); QuarantineFile('C:\WINDOWS\system32\MsSip2.dll',''); QuarantineFile('C:\WINDOWS\system32\MsSip1.dll',''); DeleteFile('C:\WINDOWS\system32\MsSip1.dll'); DeleteFile('C:\WINDOWS\system32\MsSip3.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesWinTrustSubjectPackagesMS Subjects 1','$DLL'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesWinTrustSubjectPackagesMS Subjects 2','$DLL'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesWinTrustSubjectPackagesMS Subjects 3','$DLL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Извиняюсь, что так долго.
Карантин прислал.
Новые логи прикрепляю.
Заметил, что переодически что-то появляется по пути:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
Наверное, надо прислать что-нибудь от туда. Скажите как лучше это сделать.
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:37.
Там появляется то, на что ругается НОД32
файлы типа zpqr[1].htm
Значит Вы какие-то страницы посещаете, откуда зараза прыгает. Попробуйте другой браузер (Firefox или Опера).
В логах сейчас ничего плохого, нужно поставить Сервис Пак 3 - возможно потребуется повторная активация - и последнюю версию Internet Explorer.
Так же необходимо установить все патчи!!!
После последних логов вроде перестало появляться, но браузеры не запускали, когда лезло. Что-то автоматом туда лезло.
Вот так это выглядит в логах НОДа:
26.03.2009 13:30:43 IMON файл http://xxxxxxxxxxxxxx/xxxxxxxxxx Win32/AutoRun.Agent.FW червь NT AUTHORITY\SYSTEM
26.03.2009 13:28:24 IMON файл http://xxxxxxxxxx/xxxxxxxxxx Win32/Conficker.AE червь NT AUTHORITY\SYSTEM
26.03.2009 13:13:49 IMON файл http://xxxxxxxxxx/xxxxxxxxxx модифицированный Win32/Conficker.AA червь NT AUTHORITY\SYSTEM
26.03.2009 13:12:38 IMON файл http://xxxxxxxxxx/xxxxxxxxxx Win32/Conficker.AA червь Связь завершена NT AUTHORITY\SYSTEM
26.03.2009 12:55:24 IMON файл http://xxxxxxxxxx/xxxxxxxxxx Win32/Conficker.Z червь Связь завершена NT AUTHORITY\SYSTEM
СП3 поставлю.
Не кройте пока тему(пару дней), можно?
Последний раз редактировалось Rene-gad; 26.03.2009 в 12:37. Причина: по просьбе Гриши :)
Можно, SP3+остальные заплатки обязательно поставить, червь лезет...
З.Ы. ссылки затрите...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) 17_sqrt_2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.