По собственной глупости подцепил с зараженной флэшки эту шнягу. Всё как обычно: прописывает себя в автозагрузку в реесте и запрещает его редактирования. При появлении окна с заголовком, который имеет .exe сразу перезагружает комп. Прошу помочь.
По собственной глупости подцепил с зараженной флэшки эту шнягу. Всё как обычно: прописывает себя в автозагрузку в реесте и запрещает его редактирования. При появлении окна с заголовком, который имеет .exe сразу перезагружает комп. Прошу помочь.
Ну что сказать, AVZ поработал хорошо. Кучу Brontoka удалил.
Будем чиститься дальше.
в AVZ выполнить скрипт:
После перезагрузки выслать карантин через форму и приложить файл boot_clr.log из директории AVZКод:begin ClearQuarantine(); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Люцифер\Templates\A.kotnorB.com',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe',''); QuarantineFile('%SystemRoot%\System32\cscui.dll',''); QuarantineFile('\SystemRoot\System32\Drivers\aalkkl6e.SYS',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DeleteFile('C:\WINDOWS\csrss.exe'); BC_ImportQuarantineList; BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Лечится будем после анализа карантина.
Последний раз редактировалось PavelA; 21.03.2007 в 16:38.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В дополнение, в программе Hijackthis пофиксите строчки:Код:O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
карантин залил, логи ниже, спасибо за помощь
В карантин попал 3 раза C:\WINDOWS\System32\cscui.dll, который не запрашивали. Остальных не видно. Ответ на него - чистый
Тот файл, что удалили, скорее всего был Pinch. Необходимо сменить все пароли на машине: почта, интернет, веб-кошельки, пароль администратора.
Нужны новые три лога. Посмотреть, что изменилось после наших действий.
Последний раз редактировалось PavelA; 21.03.2007 в 17:56.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните скрипт в AVZ
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\WINDOWS\System32\logon.scr',''); QuarantineFile('C:\WINDOWS\DEV_SC~1.SCR',''); QuarantineFile('C:\WINDOWS\System32\COMRes.dll',''); RebootWindows(true); end.
спасибо за помощь, вот новые логи
1. выполните скрипт
2. пришлите карантин по правилам.
3. У вас был пинч. Пришел через мэйл-агент. Поменяли пароли?begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\Люцифер\Templates\A.kotnorB.com','');
QuarantineFile('osk.exe','');
QuarantineFile('C:\WINDOWS\dev_screensaver2 dir\saver1.dll,'');
QuarantineFile('Narrator.exe','');
QuarantineFile('Magnify.exe','');
QuarantineFile('C:\WINDOWS\DEV_SC~1.SCR','');
QuarantineFile('\SystemRoot\System32\Drivers\avlgg gqj.SYS','');
QuarantineFile('C:\WINDOWS\System32\COMRes.dll','' );
DeleteFile('C:\Documents and Settings\Люцифер\Templates\A.kotnorB.com');
RebootWindows(true);
end.
Последний раз редактировалось Alex_Goodwin; 22.03.2007 в 18:22.
1. Загрузить карантин через форму отправки файлов со ссылкой на тему.
2. В "Панель управления" -- "Планировщик заданий" -- удалить задание.
3. Зверь прилетел из почты mail.ru Соответственно почистить почтовый ящик от писем, присланных неизвестными авторами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо, сейчас выполню скрипт и отошлю карантин
а пинч, присланный через майл.ру агент я не запускал, так что пароли все в безопасности
Пинч удалялся в сообщении #2. Так что жил он и процветал на Вашей машине неопределенное время.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ru_5h, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.