-
Junior Member
- Вес репутации
- 52
CureIt снес порнобанер, но есть подозрение, что вирус остался.
Здравствуйте, с наступающим днём победы.
Словился порнобанер, CureIt в сейфмоде его снёс,
но всё ж есть какие то странности.
Лиса с ослом себя странно ведут как то..
Залогиниться порой не могу на ресурсах.
И авз с хайджеком вроде видят какую то хрень..
Ну вот.. и аплоад логов никак не проходил с Лисы.. Висит и всё тут..
По моему с Лисы вообще посты не проходят..
Через эксплорер вот логи приложились..
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\vfpbSeH.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\netprotocol.exe');
SetServiceStart('Netprotocol', 4);
StopService('Netprotocol');
QuarantineFile('%system32%\vfpbSeH.exe','');
QuarantineFile('C:\WINDOWS\system32\system','');
QuarantineFile('c:\documents and settings\admin\application data\netprotocol.exe','');
DeleteFile('%system32%\vfpbSeH.exe');
DeleteFile('c:\documents and settings\admin\application data\netprotocol.exe');
DeleteService('Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Сделано.
зы: после первого пункта диагности и последующей перезагрузки компа
выскочил воднинг winlogon.exe (см. атач)
после нажтия на "отмена" комп ушёл в синий экран.
после последующей физической перезарузки ворнинг исчез.
После чего выполнены 2й и 3й пункты диагностики.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\marketgid\homepage\homepage.exe');
QuarantineFile('c:\program files\marketgid\homepage\homepage.exe','');
DeleteFile('C:\Documents and Settings\Admin\Мои документы\Проги\EBSetup.exe');
DeleteFile('C:\WINDOWS\system32\system');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
DeleteFile('c:\program files\marketgid\homepage\homepage.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SetPageOnce');
BC_ImportAll;
ExecuteSysClean;
Executerepair(7);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
-
В HiJackThis пофиксите:
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт во вложении, результат выполнения из корня диска С c:\avz_log.txt или из папки AVZ\Log прикрепите к сообщению.
Вложение 236610
-
-
Junior Member
- Вес репутации
- 52
-
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 52
Сделано.
Часто используемые уязвимости не обнаружены.
-
Если жалоб больше нет, то лечение можно считать законченным.
Установите IE8 (даже если им не пользуетесь).
-
-
Junior Member
- Вес репутации
- 52
Вроде бы жалоб нет. Спасибо большое.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\netprotocol.exe - Backdoor.Win32.Buterat.iz ( DrWEB: BackDoor.Siggen.18356 )
- c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.iz
-