Поймал BackDoor.Generic.1138,
1. нет доступа к реестру.....
2. нет доступа к свойствам папки
3. может еще что-нибудь ????
Поймал BackDoor.Generic.1138,
1. нет доступа к реестру.....
2. нет доступа к свойствам папки
3. может еще что-нибудь ????
В AVZ выполните скрипт:
Пофиксите в HijackThis (что останется):Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe',''); DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Application Data\br4743on.exe'); DeleteFile('C:\Documents and Settings\Админ.ORG-OTD\Local Settings\Application Data\br11805on.exe'); DeleteFile('C:\WINDOWS\Media\br3951on.exe'); DeleteFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe'); DeleteFile('Explorer.exe C:\WINDOWS\KesenjanganSosial.exe'); DeleteFile('C:\Documents and Settings\Админ.ORG-OTD\Шаблоны\21792-NendangBro.com'); DeleteFile('sockspy.dll'); BC_ImportDeletedList; ExecuteSysClean; ClearHostsFile; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
В Панели Управления -> Назначенные задания:Код:F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe" O4 - HKCU\..\Run: [Tok-Cirrhatus-5391] "C:\Documents and Settings\Админ.ORG-OTD\Local Settings\Application Data\br11805on.exe" O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
удалите оба задания.
Сделайте новые логи + добавьте файл boot_clr.log из папки с AVZ.
Последний раз редактировалось Bratez; 15.03.2007 в 13:10.
Все рекомендации выполнил.
С первого взгляда, все стало нормально.
Огромное спасибо.
RegEdit стал запускаться, и свойства папки появились .....
Высылаю логи после выполнения скрипта....
а вот файл boot_clr.log я почему-то не нашел ????
Посмотрю как будет работать в ближайшие дни.
BitDefender и Dr.Web друг другу не мешают?
В карантин от сегодняшнего числа должен был попасть файл. Его нужно загрузить через форму. См. ссылку вверху.
Подробности описаны в правилах.
До конца еще не вылечились. В AVZ файл -- восст. системы -- отметить п.6 -- выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Главный зверь убит. Осталась еще парочка подозрительных файликов.
Выполните скрипт:
и пришлите архив карантина 8429_quarantine.zip из папки с AVZ по ссылке вверху страницы.Код:begin ClearQuarantine; QuarantineFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe',''); QuarantineFile('D:\Distr\DVD-SOFT\DIVX CREATE BUNDLE V6.3\KEYGEN\KEYMAKER.EXE',''); CreateQurantineArchive(GetAVZDirectory+'8429_quarantine.zip'); end.
Последний раз редактировалось Bratez; 15.03.2007 в 17:00.
Я BitDefender снес совсем, после того как доступ в реестр появился, ...ведь он этого виря и проспал... а поставил Dr.Web им же и лечился ....
А в карантине только пустая папка "2007-03-15"
Про Битдефендер написал, потому что он есть в протоколах. Живой и невредимый.
Да и выполни скрипт Bratez
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
п.6 - я уже выполнял.......
файл архива карантина выслать не дает, его размер 330К - что превышает лимит на форуме ........
Почитайте внимательно правила раздела, там написано как прислать файлы карантина.
Файл надо выслать по ссылке "Прислать запрошенные файлы" вверху страницы.
Карантин получен. Результат для 'D:\Distr\DVD-SOFT\DIVX CREATE BUNDLE V6.3\KEYGEN\KEYMAKER.EXE':
Насколько я понимаю, ничего страшного.AhnLab-V3 2007.3.15.0 03.15.2007 no virus found
AntiVir 7.3.1.43 03.15.2007 no virus found
Authentium 4.93.8 03.14.2007 no virus found
Avast 4.7.936.0 03.14.2007 no virus found
AVG 7.5.0.447 03.15.2007 no virus found
BitDefender 7.2 03.15.2007 no virus found
CAT-QuickHeal 9.00 03.14.2007 (Suspicious) - DNAScan
ClamAV 0.90.1 03.15.2007 no virus found
DrWeb 4.33 03.15.2007 no virus found
eSafe 7.0.14.0 03.14.2007 no virus found
eTrust-Vet 30.6.3480 03.15.2007 no virus found
Ewido 4.0 03.15.2007 no virus found
FileAdvisor 1 03.15.2007 no virus found
Fortinet 2.85.0.0 03.15.2007 suspicious
F-Prot 4.3.1.45 03.14.2007 no virus found
F-Secure 6.70.13030.0 03.15.2007 no virus found
Ikarus T3.1.1.3 03.15.2007 no virus found
Kaspersky 4.0.2.24 03.15.2007 no virus found
McAfee 4984 03.14.2007 no virus found
Microsoft 1.2306 03.15.2007 no virus found
NOD32v2 2117 03.15.2007 no virus found
Norman 5.80.02 03.15.2007 no virus found
Panda 9.0.0.4 03.15.2007 Suspicious file
Prevx1 V2 03.15.2007 no virus found
Sophos 4.15.0 03.13.2007 Mal/Packer
Sunbelt 2.2.907.0 03.15.2007 VIPRE.Suspicious
Symantec 10 03.15.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 no virus found
UNA 1.83 03.14.2007 no virus found
VBA32 3.11.2 03.15.2007 no virus found
VirusBuster 4.3.7:9 03.15.2007 Packed/Upack
А вот 'C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.78 1\SBRunScr.exe' в карантин не попал. Давайте попробуем так:
После перезагрузки:Код:begin ClearQuarantine; BC_QrFile('C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe') ; BC_Activate; RebootWindows(true); end.
и пришлите файл '8429-2_quarantine.zip' по той же ссылке.Код:begin CreateQurantineArchive(GetAVZDirectory+'8429-2_quarantine.zip'); end.
Скрипты выполнил, но файл в карантин не попадает - создается пустой архив
Тогда сделаем так. Пофиксите в HijackThis:
Затем перезагрузитесь, запустите снова HijackThis и проверьте наличие этой строки. Если ее не будет, на этом ставим точку.Код:O4 - HKCU\..\Run: [SBRunScr] C:\DOCUME~1\АДМИН~1.ORG\LOCALS~1\Temp\Rar$EX00.781\SBRunScr.exe
Пофиксил, перезагрузился, строка не появилась
комп работает нормально
Огромное спасибо за помощь!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Леонид, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.