Уважаемые здравствуйте
Машина Windows xp sp2, SEP11 ставил еще по верх заразы
GMEP-пом вычистил то что было прицеплено к svchost.exe
но видно что машина подтормаживает
логи AVZ:
Уважаемые здравствуйте
Машина Windows xp sp2, SEP11 ставил еще по верх заразы
GMEP-пом вычистил то что было прицеплено к svchost.exe
но видно что машина подтормаживает
логи AVZ:
Последний раз редактировалось taishigo; 08.12.2009 в 12:18.
Не первый раз у нас, а Правила полностью не выполняете:
Восстановление системы: включено
С ключами автозапуска сам мудрил?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
с ключами автозапуска там где "222" да я делал.
а с правилами простите в запарке изначально было выключено
Последний раз редактировалось taishigo; 16.10.2009 в 14:13.
Отключите восстановление системы. Выполните скрипт
Пофиксите HijackthisКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL',''); QuarantineFile('C:\Documents and Settings\lena\restorer32_a.exe',''); QuarantineFile('C:\Documents and Settings\lena\Application Data\svcst.exe',''); QuarantineFile('C:\Documents and Settings\lena\Application Data\seres.exe',''); QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\4.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SRTSPL.SYS',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys',''); DeleteFile('C:\WINDOWS\system32\4.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\restorer32_a.exe'); DeleteFile('C:\Documents and Settings\lena\Application Data\seres.exe'); DeleteFile('C:\Documents and Settings\lena\Application Data\svcst.exe'); DeleteFile('C:\Documents and Settings\lena\restorer32_a.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a'); DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys'); BC_ImportALL; BC_DeleteSvc('Nups'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_cleaner.log'); BC_Activate; RebootWindows(true); end.
Закачайте карантин, сделайте новые логиКод:F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tapi.nfo beforeglav
The Truth is Out There
отключил, пофиксил, карантин отослал, логи готовлю
логи готовы
Последний раз редактировалось taishigo; 08.12.2009 в 12:18.
1. Выполните скрипт
2. Закачайте карантин по ссылке вверху.Код:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL',''); QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL',''); QuarantineFile('D:\Work\0001 РАБОТА\001 АРТ ЭКСПРЕСС\Сотрудники\Лесковский\MAgent.exe',''); QuarantineFile('a.sys',''); DeleteFile('a.sys'); DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL'); DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL'); DelCLSID('{9CB65206-89C4-402c-BA80-02D8C59F9B1D}'); DelCLSID('{FE063DB9-4EC0-403e-8DD8-394C54984B2C}'); DelCLSID('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}'); DelCLSID('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}'); BC_ImportALL; BC_DeleteSvc('vsdatant'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_cleaner.log'); BC_Activate; RebootWindows(true); end.
3. Сделайте новый лог virusinfo syscheck. Перезагрузитесь
4. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
5. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
Обратите внимание на отчёт после завершания закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
Отчет запостите сюда
The Truth is Out There
в карантине только тот файл, который я уже выслал
а новый лог вот:
Последний раз редактировалось taishigo; 08.12.2009 в 12:18.
4 скрипт сделал закачал
отчет вот:
Файл сохранён как 091016_193620_virusinfo_files_ARTEX-LENA-XP_4ad892f4681b3.zip
Размер файла 12772401
MD5 d402fbca0e43119c8e680ef433c3ee4d
Последний раз редактировалось taishigo; 16.10.2009 в 19:37.
В логе чисто. Что с проблемой ?
точно оценить смогу уже в понедельник - последнее сканирование делал из дома удаленно, поэтому удаленно поддтормаживание трудно оценить
но все равно спасибо
Добавлено через 21 минуту
простите за оффтоп: на этой машине был установлен ранее mTorrent
мог он стать причиной уязвимости машины ?
Последний раз редактировалось taishigo; 16.10.2009 в 20:36. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) taishigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.