Началось с того, что стали открывться окна с китайскийм языком и винда стала просить установить этот самый язык. Далее интернет отрубился напрочь. Скрипт из прошлой моей темы не помог.
Началось с того, что стали открывться окна с китайскийм языком и винда стала просить установить этот самый язык. Далее интернет отрубился напрочь. Скрипт из прошлой моей темы не помог.
в AVZ выполнить скрипт:
После перезагрузки прислать карантин согласно Правил.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('appmgmts.dll',''); QuarantineFile('c:\windows\system32\kernels88.exe',''); DeleteFile('c:\windows\system32\kernels88.exe'); ExecuteRepair(6); ExecuteRepair(11); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ЕСли бы Вы загрузили карантин как Вас просили, то мы помогли бы удалить трояна с первого компьютера.
как загрузить карантин?
карантин
скрипт не помог
инет не работает
Последний раз редактировалось 2-D; 12.03.2007 в 17:55.
kernels88.exe - Trojan.Packed.13 по Symantec
После перезагрузки прислать boot_clr.log сюда в тему.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('c:\windows\system32\kernels88.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(True); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Всё сделал, но страницы в браузерах всё ещё не открываются, интернет-пейджеры теперь работают.
1.Загрузиться в SafeMode ( F8 )
В AVZ --сервис -- поиск файлов на диске (галочку на диске "С") -- ищем файл c:\windows\system32\kernels88.exe. Если найдется, удаляем без сожаления.
2.В AVZ --сервис -- Менеджер автозапуска -- отключить галочку в строчке с appmgmts.dll.
Последний раз редактировалось PavelA; 13.03.2007 в 11:32. Причина: Добавил про appmgmts.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Проверьте настройки прокси-сервера:
Эту строку пофиксить в HijackThis:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.3.41
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.3.1:3218
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
И новые логи, начиная с 10-го пункта Правил, сделайте.
Вот это не понял:
Эту строку пофиксить в HijackThis:
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
Прокси исправил, работает.
Но egtxkb остался
профиксил, файлы логов сделаны уже после этой операции.
В программе Hijackthis пофиксите строкуПрограмма AVZ - файл - выполнить скрипт - выполните скрипт:Код:O4 - HKLM\..\Run: [eklscg] C:\WINDOWS\system32\egtxkb.exeСистема будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\egtxkb.dll',''); QuarantineFile('C:\WINDOWS\system32\egtxkb.exe',''); QuarantineFile('appmgmts.dll',''); DeleteFile('C:\WINDOWS\system32\egtxkb.dll'); DeleteFile('C:\WINDOWS\system32\egtxkb.exe'); ExecuteSysClean; RebootWindows(true); end.
профиксил, скрипт прогнал, карантин прислал
appmgmts.dll
не попал в карантин.
Попробуйте осуществить архивирование файла из безопасного режима.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
сделал в безопасном
Похоже, файл не существует.
Повторите логи AVZ, дабы мы могли понять, успешным ли было удаление.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
C:\WINDOWS\system32\egtxkb.exe и C:\WINDOWS\system32\egtxkb.dll - определяются, как Trojan-PSW.Win32.QQPass.td (по Касперскому) Рекомендуется поменять все пароли на данной машине.
Уважаемый(ая) 2-D, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.