Hi.
Доменный комп.
Зашел под другой учеткой.
Сабж.
Только вычищу - обратно заражается
Hi.
Доменный комп.
Зашел под другой учеткой.
Сабж.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
up
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('protect'); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\zoukuzouvuz.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\csrss.exe',''); QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\dvksic.sys',''); DeleteService('wqelrutker'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys',''); DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\dvksic.sys'); DeleteFile('C:\Documents and Settings\Андрей\csrss.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gejys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','gejys'); DeleteFile('C:\WINDOWS\system32\zoukuzouvuz.exe'); DeleteFile('c:\documents and settings\Администратор\wuaucldt.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); DeleteFile('c:\windows\system32\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys'); QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe ',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe '); BC_ImportAll; BC_DeleteSvc('ICF'); ExecuteSysClean; ExecuteRepair(11); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 1 минуту
- Сделайте лог Gmer
Последний раз редактировалось polword; 04.05.2010 в 11:54. Причина: Добавлено
Забыл сказать, что сетевуха сообщает, что кабель не подключен.
Карантин послал.
После предварительного сканирования кнопку Scan - нажимали?Сообщение от polword
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe',''); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); QuarantineFile('C:\WINDOWS\system32\drivers\TBPANEL.SYS',''); QuarantineFile('srservice.sys',''); DeleteService('srservice'); DeleteFile('srservice.sys'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Замените файл C:\WINDOWS\system32\DRIVERS\cdrom.sys на чистый из дистрибутива.
Как заменить файл можно посмотреть тут
- Сделайте повторные логи virusinfo_syscheck.zip и Gmer
>> После предварительного сканирования кнопку Scan - нажимали?
Не понятен вопрос? Лог должен выглядеть по другому?
Новый лог такой же.
cdrom.sys закинул
при выполнении 1 скрипта ошибки про карантин
up
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
все сделаю чуть позже.
но вот в чем вопрос.
После последнего выполнения последнего скрита (именно последний я так думаю ни причем, просто не дождался вчера ответа и решил вырубить комп на ночь) комп теперь не может выключиться или перегрузиться. не срабатывает ничего. выполнение скрипта перезагрузки тоже не помогает. компьютер продолжает работать. все запускается.
какие есть по этому поводу мысли.
ПС я его специально не выключаю, давайте разберемся в чем дело.
обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
после посмотрим какие проблемы останутся
Обновлять до sp3 при вирусах можно?
Последние данные.
sp3 пока не ставил
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Похоже все нормально.
Спасибо.
ПС комп также стал нормально перегружаться.
обновите систему. Рекомендации в посте №11
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) alex2san, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
