другой комп
другой комп
Последний раз редактировалось blackcat72; 23.10.2009 в 23:34.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\DrWeb_Portable_5.00.3.04220_MultiLang\DrWebPortable.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\c2020Y59.sys',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\newadvsplash.dll',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\Registry.dll',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\System.dll',''); DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнить скрипт в AVZ.
Загрузите карантин согласно правилам.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи.
Последний раз редактировалось AndreyKa; 29.09.2009 в 15:34.
Какой сайт открывается? При каких условиях?
AndreyKa, Про вирус писал тут:
Ни одна авирпрога (последние с обновлениями касп, дрвеб, нод) не смогла полностью вылечить его.
Нод назвал его как Kryptik.AJT (троян) - когда переходит по адресу 85,131,154,31/~pornicari/kajgana.exe
и Kryptik.AKG (троян) - когда переходит по адресу 85,131,154,31/~pornicari/sock.exe
Конкретнее:
Время от времени (минут через 20-30) запускается браузер (который по умолчанию в системе) и открывается один и тот же сайт с разными страницами (хорошо придумано для раскрутки сайта) www. thenewspedia. com/ index.php/ components/ auto-and-trucks
В папке с темпами создаются файлы (создает вирус) 2 штуки (иногда 4). То могу удалить, то нет. В памяти нигде не могу обнаружить, в автозапусках не вижу.... Как его избавиться не понятно.
Сейчас уже (другой комп) меняется указанный выше сайт с другим (не запоминал какой). Но смысл тот же.
Логи готовлю....
snifer67,
какой файл загружать - quarantine.zip, который вы создали или упаковать самому папку карантина? По умолчанию закидываю ваш (он же без пароля).
Последний раз редактировалось blackcat72; 29.09.2009 в 16:10. Причина: Добавлено
Загрузить надо quarantine.zip
Последний раз редактировалось snifer67; 29.09.2009 в 16:26.
Выполнил. Карантин закачал. Логи приложил.
Последний раз редактировалось blackcat72; 23.10.2009 в 23:34.
Пофиксите в HijackThis:
Больше ничего подозрительного не видно.Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing) O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
C:\WINDOWS\system32\sfcfiles.dll.BAK - вот это пришлите через карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи чисты.Проблемы наблюдаются ?
Пофиксил (лог приложил).
Запрошенный файл выслал.
Пока проблема не наблюдается.
Если в логах больше ничего нету, всем спасибо за помощь.
Последний раз редактировалось blackcat72; 23.10.2009 в 23:34.
Установите обновления безопасности для Windows.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) blackcat72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.