-
Junior Member
- Вес репутации
- 60
После лечения компа не хочет соединяться QIP
Здравствуйте,
На компе были обнаружены вирусы. Никаких сомнений в том, что это вирусы (исполняемые файлы в корне каталога пользователя), не было.
На комп был напущен hijackthis - лог прилагается.
Отключили восстановление системы.
Пофиксили sys32_nov.exe, в avz напустили скрипт следующего содержания:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\Documents and Settings\upperleft\oashdihasidhasuidhiasdhiashdiua sdhasd');
BC_DeleteFile('C:\Documents and Settings\upperleft\sys32_nov.exe');
BC_DeleteFile('C:\WINDOWS\System32\sys32_nov.exe') ;
BC_DeleteFile('C:\WINDOWS\System32\drivers\e1e5132 .sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки напустили на систему Скрипт лечения/карантина и
сбора информации для раздела "Помогите!" virusinfo.info, перезагрузились, файл virusinfo_syscheck.zip прилагается.
QIP теперь не соединяется, говорит: "Связь прервана. Проверьте настройки подключения.". Rambler ICQ соединяется.
зы. Да - файлы C:\Documents and Settings\upperleft\oashdihasidhasuidhiasdhiashdiua sdhasd и C:\WINDOWS\System32\drivers\e1e5132.sys были обнаружены самостоятельно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 60
Что самое смешное, снос кипа и удаление его каталога ничего не дает.
Последний раз редактировалось smplmnd; 23.09.2009 в 21:11.
Причина: Добавлено
-
Пофиксить в HiJack
Код:
O4 - HKLM\..\Run: [sys32_nov] C:\WINDOWS\system32\sys32_nov.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [sys32_nov] C:\Documents and Settings\upperleft\sys32_nov.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи (их должно быть три)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин отправлен, три лога прилагаются.
Последний раз редактировалось AndreyKa; 29.09.2009 в 03:10.
-
Уберите из хост файла запись:
64.12.202.116 login.icq.com
И попробуйте подключить Qip...
-
-
Junior Member
- Вес репутации
- 60
Эта запись была сделана именно в попытках заставить кип соединяться.. Да и Рамблеровской аське она не мешает.
upd. Да Вы попробуйте такую
64.12.202.116 login.icq.com
запись в hosts сами сделать - увидите, что все работает 
Добавлено через 2 часа 0 минут
Хех! Где-то оказался закрытым порт 5190 - то ли на корпоративном брандмауэре (внезапно - в тот же момент, когда перезагружались), то ли где-то локально (после очистки от вирусов).. Прописали порт 443, как в РамблерICQ - соединилось.
Надо бы тему переименовать, что ли. Вирусы-то были, их надо разъяснить..
Последний раз редактировалось smplmnd; 24.09.2009 в 23:18.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
