В папке C:\Program Files\ появилась новая папка Bonjour\ с двумя файлами - mdnsNSP.dll, mDNSResponder.exe. Естественно, они не удаляются.
В папке C:\Program Files\ появилась новая папка Bonjour\ с двумя файлами - mdnsNSP.dll, mDNSResponder.exe. Естественно, они не удаляются.
Последний раз редактировалось Publisher; 21.04.2010 в 13:46.
1. Пожалуйста, выполните скрипт AVZ:
В ходе выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); QuarantineFile('Ati2evxx.dll', 'CHQ=N'); QuarantineFile('atioglxx.dll', 'CHQ=N'); QuarantineFile('ICQ.exe', 'CHQ=S'); QuarantineFile('SDEvents.dll', 'CHQ=N'); QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\drivers\cmudax3.sys', 'CHQ=S'); QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys', 'CHQ=S'); QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys', 'CHQ=S'); QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD4589.SYS', 'CHQ=S'); QuarantineFile('C:\Documents and Settings\Willie\Application Data\Microsoft\Internet Explorer\Quick Launch\tlbdata.xml', 'CHQ=S'); QuarantineFile('C:\WINDOWS\System32\ati2dvag.dll', 'CHQ=G'); QuarantineFile('C:\WINDOWS\system32\ati2evxx.dll', 'CHQ=G'); QuarantineFile('c:\windows\system32\ati2evxx.exe', 'CHQ=G'); QuarantineFile('C:\WINDOWS\system32\ATIDEMGR.dll', 'CHQ=G'); QuarantineFile('C:\WINDOWS\system32\atipdlxx.dll', 'CHQ=G'); QuarantineFile('C:\WINDOWS\system32\Drivers\btwusb.sys', 'CHQ=G'); QuarantineFile('C:\Program Files\ATI Technologies\ATI.ACE\CLI.Aspect.DeviceProperty2.Graphics.Runtime.dll', 'CHQ=G'); QuarantineFile('c:\program files\olympus\devicedetector\devdtct2.exe', 'CHQ=G'); QuarantineFile('C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\AbbyyZlib.dll', 'CHQ=G'); BC_QrFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe'); BC_QrFile('C:\WINDOWS\system32\sfcfiles.dll'); BC_QrFile('C:\WINDOWS\System32\Drivers\dtscsi.sys'); BC_QrFile('C:\WINDOWS\System32\Drivers\sptd.sys'); BC_QrFile('C:\WINDOWS\System32\Drivers\SPTD4589.SYS'); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
Вроде бы сделал всё, как Вы просили.
Ёлки-палки! Забыл логи сделать. Высылаю.
Последний раз редактировалось Publisher; 21.04.2010 в 13:46.
Такой вариант попробуйте: http://virusinfo.info/showthread.php?t=27923
Как дела с моим вопросом? Бонжур я убрал, логи выслал. Там всё нормально?
Выполните скрипт
Сделайте новый лог virusinfo_syscheck.zip и лог MBAMКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe'); DeleteFilemask('C:\Program Files\Bonjour','*.*',true); DeleteDirectory('C:\Program Files\Bonjour'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile'); BC_ImportDeletedList; BC_DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Высылаю лог MBAM и virusinfo_syscheck.zip.
Последний раз редактировалось Publisher; 21.04.2010 в 13:46.
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\WINDOWS\system32\dllcache\iissync.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Удалите в MBAM
Сделайте лог MBAMКод:Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Карантин:
Файл сохранён как 100310_001352_virus_4b96ba10c2bed.zip
Размер файла 604
MD5 28ebfe05f080aef677fb104620da652c
Высылаю логи MBAM.
Последний раз редактировалось Publisher; 21.04.2010 в 13:46.
В логах чисто, что с проблемой?
Теперь вроде бы всё в норме. Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 41
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Publisher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.