-
Junior Member
- Вес репутации
- 54
заражение компьютера
Проверка компьютера KAV7 не помогает, периодически IE просит то отладку то просто какие то ошибки сыпятся
Логи снял.
P/s Компьютер конечно как решето win xp SP1, IE6, службы лишние не выключены все конечно исправлю хочется сначала вылечить компьютер.
P/P/S AVZ запускал с флешки а когда принес домой KAV обнаружил на ней " троянская программа Rootkit.Win32.Small.ut" и придушил.
Последний раз редактировалось 2fast4U; 30.09.2009 в 09:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!!!
Пофиксите в Hijackthis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: C:\WINDOWS\System32\jdgf8edfsde.dll - {c5af49a2-94f3-42bd-f434-3604812c897d} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14BC068-287B-41CB-9989-0F07546D688E}: NameServer = 85.255.114.195,85.255.112.96
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.195 85.255.112.96
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('c:\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\f6ba6540.sys','');
QuarantineFile('C:\WINDOWS\System32\msvcrt57.dll','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
DeleteFile('C:\WINDOWS\System32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('c:\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\autorun.exe');
BC_ImportALL
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(17);
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Заблокированы настройки системы System Restore
>> Проводник - заблокирован доступ к свойствам папки
Исправить в AVZ - Файл- Мастер поиска и устранения проблем
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Система у Вас вся дырявая. Надо SP3 ставить, а то заразу не остановить.
-
-
Junior Member
- Вес репутации
- 54
Пофиксил и установил SP3, новые логи
Обновил IE до версии 7.0.570.13
Гляньте вчерашние логи или подскажите где можно почитать литературу чтобы самому анализировать ситуацию по логам.
Последний раз редактировалось 2fast4U; 30.09.2009 в 09:05.
-
Сообщение от
2fast4U
Обновил IE до версии 7.0.570.13
Установите IE 8
Сообщение от
2fast4U
подскажите где можно почитать литературу чтобы самому анализировать ситуацию по логам.
www.z-oleg.com или запишитесь в Студенты тут http://virusinfo.info/profile.php?do=editusergroups
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
CleaqQuarantine;
StopService('f6ba6540');
QuarantineFile('c:\Temp\on4v0L95.sys','');
DeleteFile('c:\Temp\on4v0L95.sys');
DeleteFile('C:\WINDOWS\System32\drivers\f6ba6540.sys');
DeleteService('f6ba6540');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('f6ba6540');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Rootkit.Win32.Small.ut ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.CryptRedol.Gen.1 )
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.ih ( DrWEB: Trojan.DownLoad.5244 )
- f:\autorun.exe - Rootkit.Win32.Small.ut ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.CryptRedol.Gen.1 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-