периодически NOD32 предупреждает сообщением, о блокировке адреса dlink4.biz/****/er.php с IP 195.78.108.20:80
кто то ломится!?
периодически NOD32 предупреждает сообщением, о блокировке адреса dlink4.biz/****/er.php с IP 195.78.108.20:80
кто то ломится!?
Последний раз редактировалось Alex_Goodwin; 04.02.2010 в 14:43. Причина: исправление заголовка
Пофиксить в Hijack
Выполнить скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O20 - Winlogon Notify: crypt - Invalid registry found
затем следующийКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\1c21d0a3.sys',''); DeleteService('1c21d0a3.sys'); QuarantineFile('C:\WINDOWS\System32\drivers\4b54ffd5.sys',''); DeleteService('4b54ffd5.sys'); QuarantineFile('C:\WINDOWS\System32\drivers\beta91e.sys',''); DeleteService('beta91e'); QuarantineFile('C:\WINDOWS\System32\drivers\de89e360.sys',''); DeleteService('de89e360.sys'); QuarantineFile('C:\WINDOWS\System32\drivers\dgc9bd8.sys',''); DeleteService('dgc9bd8'); QuarantineFile('C:\WINDOWS\System32\drivers\hkjf21a.sys',''); DeleteService('hkjf21a'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winou38.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv30.sys',''); DeleteService('Winjp85'); DeleteService('Winnt06'); DeleteService('Winou38'); DeleteService('Winpv30'); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnt06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjp85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\hkjf21a.sys'); DeleteFile('C:\WINDOWS\System32\drivers\dgc9bd8.sys'); DeleteFile('C:\WINDOWS\System32\drivers\de89e360.sys'); DeleteFile('C:\WINDOWS\System32\drivers\beta91e.sys'); DeleteFile('C:\WINDOWS\System32\drivers\4b54ffd5.sys'); DeleteFile('C:\WINDOWS\System32\drivers\1c21d0a3.sys'); BC_ImportAll; ExecuteSysClean; Executerepair(6); ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true); end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('ClipSrvstisvc', 4); DeleteService('ClipSrvstisvc'); StopService('ClipSrvstisvc'); SetServiceStart('ERSvcWebClient', 4); DeleteService('ERSvcWebClient'); StopService('ERSvcWebClient'); SetServiceStart('lanmanserverSharedAccess', 4); DeleteService('lanmanserverSharedAccess'); StopService('lanmanserverSharedAccess'); SetServiceStart('lanmanworkstationwuauserv', 4); DeleteService('lanmanworkstationwuauserv'); StopService('lanmanworkstationwuauserv'); SetServiceStart('NetDDEERSvc', 4); DeleteService('NetDDEERSvc'); StopService('NetDDEERSvc'); SetServiceStart('NVSvcSpooler', 4); DeleteService('NVSvcSpooler'); StopService('NVSvcSpooler'); SetServiceStart('WebClientCryptSvc', 4); DeleteService('WebClientCryptSvc'); StopService('WebClientCryptSvc'); QuarantineFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys',''); DeleteService('yrjmkllbkl'); StopService('yrjmkllbkl'); SetServiceStart('yrjmkllbkl', 4); DeleteFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
карантин пуст.
вот логи
Выполнить скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys',''); SetServiceStart('yrjmkllbkl', 4); DeleteService('yrjmkllbkl'); StopService('yrjmkllbkl'); SetServiceStart('WebClientCryptSvc', 4); DeleteService('WebClientCryptSvc'); StopService('WebClientCryptSvc'); SetServiceStart('NVSvcSpooler', 4); DeleteService('NVSvcSpooler'); StopService('NVSvcSpooler'); SetServiceStart('NetDDEERSvc', 4); DeleteService('NetDDEERSvc'); StopService('NetDDEERSvc'); SetServiceStart('lanmanworkstationwuauserv', 4); DeleteService('lanmanworkstationwuauserv'); StopService('lanmanworkstationwuauserv'); SetServiceStart('lanmanserverSharedAccess', 4); DeleteService('lanmanserverSharedAccess'); StopService('lanmanserverSharedAccess'); SetServiceStart('ERSvcWebClient', 4); DeleteService('ERSvcWebClient'); StopService('ERSvcWebClient'); SetServiceStart('ClipSrvstisvc', 4); DeleteService('ClipSrvstisvc'); StopService('ClipSrvstisvc'); DeleteFile('C:\WINDOWS\system32\drivers\qrjyoqtmayrs.sys'); BC_ImportDeletedList; BC_DeleteSvc('yrjmkllbkl'); BC_DeleteSvc('WebClientCryptSvc'); BC_DeleteSvc('NVSvcSpooler'); BC_DeleteSvc('NetDDEERSvc'); BC_DeleteSvc('lanmanworkstationwuauserv'); BC_DeleteSvc('lanmanserverSharedAccess'); BC_DeleteSvc('ERSvcWebClient'); BC_DeleteSvc('ClipSrvstisvc'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip
в карантине по прежнему ничего.
Выполните скрипт
Сделайте логи АВЗ и лог GmerКод:begin SetAVZPMStatus(True); RebootWindows(true); end.
вот они
Лог Gmer'а--пустой, еще раз сделайте. Посмотрите в моей подписи как делать лог.
так и сделал, все галки кроме как на диске "С" снял и запустил, ничего, говорит не найдено, может еще какие нибудь галочки поставить
да пустой, пишет Hasn t found...
Делаем паузу, надо подумать.
правильно ли я расставляю галочки ?!
Не правильно. Смотрите тут. http://virusinfo.info/showthread.php?t=40118
Gver, AVZ запрошенные
В логах чисто, что с проблемой?
Удалите Bonjour--http://virusinfo.info/showthread.php?t=27923
Уважаемый(ая) axxxel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.