Посмотрите плиз логи вирусы набедокурили ((
Посмотрите плиз логи вирусы набедокурили ((
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(1); QuarantineFile('C:\Documents and Settings\All Users\Документы\hhylxc.exe',''); DeleteFile('C:\Documents and Settings\All Users\Документы\hhylxc.exe'); QuarantineFile('C:\WINDOWS\system32\yblcmhx.dll',''); DeleteFile('C:\WINDOWS\system32\yblcmhx.dll'); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteService('smdcp'); DeleteFile('C:\WINDOWS\system32\01.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web ® Engine','EventMessageFile'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Вот логи, карантин выслал по ссылке вверху
Выполните скрипт:
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\rubec\Application Data\S05-3636-T34636-7574-BLAZEBOT-ASGET-UEIAASH\winlogon.exe',''); DeleteService('nnxyebdnx'); DeleteFile('C:\WINDOWS\system32\04.tmp'); DeleteFile('C:\Documents and Settings\rubec\Application Data\S05-3636-T34636-7574-BLAZEBOT-ASGET-UEIAASH\winlogon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('nnxyebdnx'); BC_Activate; RebootWindows(true); end.
компьютер на перезагрузке завис пришлось использовать ресет. Еще одно на сайт зайти не мог когда пришел проверил ДрВеб он нашел какую то длл в систем 32 и удалил, проверял в обычном режиме т.к. в безопасный режим не запускает комп перезагружается.
Эту C:\WINDOWS\system32\yblcmhx.dll ?
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(10); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\pjshrmbz.dll',''); DeleteFile('C:\WINDOWS\system32\pjshrmbz.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновления безопасности на Windows надо устанавливать. Лучше начать с Service Pack 3 (может потребоваться активация).
Выслал
После перехода по ссылке СП3 и нажимаю кнопку загрузить файр фокс закрывается без всяких объяснений (
Есть улучшения в безопасном режиме загружается проверка ДрВеб в безопасном режиме ничего не обнаружила
И еще вопросик можно использовать АВЗ как стационарную систему защиты или он так не работает ? а то что то НОД32 вижу не справляется немного (
Добавлено через 3 часа 53 минуты
pjshrmbz.dll есть подозрение что вот эта зверюка блокирует доступ к сайту вирусинфо и возможно к ДрВеб после удаления его скриптом по прошествии некоего времени (возможно были перезагрузки) он вновь объявился и все с тем же упорством создает проблемы с доступом к сайтам и возможно что то еще
Фойл вроде посылал из карантина по ссылке вверху страницы, проверьте пожалуйста что за зверь и как от него избавиться.
Последний раз редактировалось Rubec; 02.10.2009 в 00:51. Причина: Добавлено
AVZ можно использовать только как дополнение к настоящему антивирусу.
Какая версия, базы от какого числа?
В карантин упомянутый файл не попал.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл c:\avz_log.txt
Последний раз редактировалось AndreyKa; 07.10.2009 в 21:26.
Лезит из сети зараза НОД32 ругаеться на _http://10.0.144.107:4488/blyci делаю терминейт и скопировал в карантин, но после этого вторжения пропадает доступ к вирус инфо пока не удалю с помощью ДрВеб КурИт вышеупомянутую pjshrmbz.dl после удаления и перезагрузки связь с сайтом возобновляется, также блокирует доступ к сайту ДрВеб
Версия НОД32 2,5 базы на сегодняшнее число
Карантин с длл и там еще что то выслал по правилам
Файл сохранён как 091002_133612_virus_4ac5c98c1ae7c.zip
Размер файла 179111
MD5 dd25003eaf14c5c39425c9f3e9adce3c
Почитайте: http://ru.wikipedia.org/wiki/Kido
В карантине dll снова нет. Nod её убивает, похоже. Посмотрите в логе Nod-а.
Прочитал только вот что с ним делать так и не понял, т.к. когда есть доступ к сайту вирусинфо его в системе как бы нет убиваю предварительно дрВебом, а как предупредить его вторжение в систему так и не понял (
ммм странно НОД ругался но я после этого отключил его и пересоздал архив ... хм попробую еще раз
Файл сохранён как 091002_135717_virus1_4ac5ce7d69eb6.zip
Размер файла 428
MD5 815af0e6f3bab203f125a4599f221e2f
Вроде, по русски написано:
быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета.
Отключив эту службу не проникнет ? и второй вопрос при отключении этой службы будет ли возможность доступа к файлам и папкам другого компьютера в локальной сети и наоборот?
Открываю службы и вот такое вот там творится
Насчет этого я писал
и еще один вопрос эта дрянь ломится ко всем пользователям или к тем кого запомнил?После перехода по ссылке СП3 и нажимаю кнопку загрузить, файр фокс закрывается без всяких объяснений (
больше в логах ничего смертельного нет? и в АВЗ что то говорилось о потенциальных угрозах безопасности эти службы тоже отключить?
Последний раз редактировалось Rubec; 02.10.2009 в 14:36.
SP3 установил, возможно как защититься не отключая службу сервер?
появилась папка на диске Д a657031545db650b412b379b98b00c загрузил в архиве virus1 с паролем virus по ссылке вверху темы
Удалить папку не получается
Файл сохранён как 091004_143006_virus1_4ac8792ecf1f9.zip
Размер файла 2407024
MD5 f08e6811e776df4680187d96f8e7ca66
лог АВЗ прикладываю также сделал лог АВП тул
Последний раз редактировалось Rubec; 04.10.2009 в 15:11.
ммм посмотрите плиз (
Статистика проведенного лечения:
- Получено карантинов: 6
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\документы\hhylxc.exe - Trojan.Win32.Autoit.xp ( DrWEB: Win32.HLLW.Autoruner.6013, BitDefender: Gen:Trojan.Heur.AutoIT.vmNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )
Уважаемый(ая) Rubec, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.