-
Junior Member
- Вес репутации
- 55
Номер 8353 текст 495629633
Выполнил следующие действия:
1. Загрузитесь в безопасном режиме с поддержкой командной строки
2. Подправил, удалив из ключа Shell имя файла "c:\programm files\Microsoft\Shared\mssoft.exe". Баннер ушел.
3. Запуск программ возможен только: "Запуск от имени..." и свой пользователь
4. Логи прилагаю
Последний раз редактировалось Foxtrot_1; 01.02.2011 в 19:21.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Читаем правила внимательнее, карантин - virusinfo_cure.zip убираем отсюда и прикрепляем лог virusinfo_syscure.zip +
Внимание !!! База поcледний раз обновлялась 31.05.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновляемся. Сообщите когда приложите логи с обновлёнными базами, в логах АВЗ с устаревшими базами.
Последний раз редактировалось olejah; 07.07.2010 в 19:16.
-
-
Junior Member
- Вес репутации
- 55
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Что-то не то делаете, смотрю логи, а там -
Внимание !!! База поcледний раз обновлялась 31.05.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
. Давайте так - Программа АВЗ - Файл - Обновление баз. Дальше думаю поймёте.
-
-
Junior Member
- Вес репутации
- 55
ПК на работе, завтра сделаю новые логи
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Junior Member
- Вес репутации
- 55
Обновил базу AVZ (сделал новые логи) и выполнил скрипт ScanVuln, исправил пять уязвимостей.
Одна не хочет исправлятся:
Устанавливаю заплату Adobe Flash Player, перезагружаюсь, выполняю скрипт ScanVuln, а она висит.
Последний раз редактировалось Foxtrot_1; 01.02.2011 в 19:21.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Ох и проблемы у нас с обновлением
Внимание !!! База поcледний раз обновлялась 02.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Кстати, вышла сегодня новая версия АВЗ, загрузите тут - z-oleg.com
А пока так -
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: Shell=Explorer.exe,
O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\TlntSvr');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\TlntSvr\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\WmiApRpl');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\WmiApRpl\Parameters');
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После проделанного скачайте новую версию АВЗ и сделайте логи ей + лог HiJackThis
-
-
Junior Member
- Вес репутации
- 55
Ох и проблемы у нас с обновлением
AVZ -> Файл/Обновление баз -> вчера обновил, сегодня снимал логи
Кстати, вышла сегодня новая версия АВЗ, загрузите тут - z-oleg.com
А вот за это огромное спасибо!
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Junior Member
- Вес репутации
- 55
Проверил ПК KasperskyRescueDisk10, потом профиксил hijackthis и выполнил скрипт в AVZ.
Последний раз редактировалось Foxtrot_1; 01.02.2011 в 19:21.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\USER~1.MIC\LOCALS~1\Temp\wjhhcc.dat','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Последний раз редактировалось olejah; 09.07.2010 в 13:30.
Причина: Забыл убрать параметр автозапуска.
-
-
Установите верную системную дату
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: winmm.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\USER~1.MIC\LOCALS~1\Temp\wjhhcc.dat','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOCUME~1\USER~1.MIC\LOCALS~1\Temp\wjhhcc.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин (если не будет пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Смените все пароли
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Выполнил всё вышеперечисленное.
Файл сохранён как 100710_163425_quarantine_4c3868d137af5.zip
Размер файла 624
MD5 946abb1480f2fe066b741e725e1c3a63
Последний раз редактировалось Foxtrot_1; 01.02.2011 в 19:21.
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Зловреды были успешно убиты, не забудьте рекомендацию thyrex - сменить пароли, а также обновите Internet Explorer v7.00 до восьмого. Жалоб никаких нет?
-
-
Junior Member
- Вес репутации
- 55
Всё работает стабильно. Спасибо большое!
Не тупи, антивирус купи! ESET NOD32 Smart Security
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-