Показано с 1 по 13 из 13.

Проверьте, пожалуйста (заявка № 88824)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39

    Проверьте, пожалуйста

    Хочу знать все ли чисто.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelCLSID('{67KLN5K0-4OPM-00WE-AAX5-27EF1D187263}');
     DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-21KC2A1112233}');
      QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
     QuarantineFile('C:\MEMO\AFANDY\april2x3.exe','');
     QuarantineFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\Nn0.exe','');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\Nn1.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\ncghwdnhњ.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\ncghwdnh.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\rundll32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\ncghwdnh.exe');
     DeleteFile('C:\Documents and Settings\Admin\ncghwdnhњ.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnhњ');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnh');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SunJavaUpdateSched');
     DeleteFile('C:\WINDOWS\TEMP\Nn1.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3FWHZQA3LT');
     DeleteFile('C:\WINDOWS\services.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     DeleteFile('C:\WINDOWS\TEMP\Nn0.exe');
     DeleteFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
     DeleteFile('C:\MEMO\AFANDY\april2x3.exe');
     QuarantineFile('c:\windows\system32\wmsrvc.exe','');
     DeleteFile('c:\windows\system32\wmsrvc.exe');
     ClearHostsFile;
     DeleteFileMask('C:\MEMO', '*.*', true);
     DeleteDirectory('C:\MEMO');
     DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');	
     DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');	
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(16);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39
    Вот, пожалуйста.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\System32\ncghwdnhњ.exe');
     DeleteFile('C:\WINDOWS\System32\ncghwdnh.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnhњ');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ncghwdnh');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(9);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39
    Карантин прикрепил. Вот логи.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5k0-4opm-00we-aax5-27ef1d187263} (Backdoor.IRCBot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
    C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
    C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111 (Backdoor.IRCBot) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\qqnt.bno (Trojan.Dropper.Gen) -> No action taken.
    C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Desktop.ini (Backdoor.IRCBot) -> No action taken.
    C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\Documents and Settings\Admin\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Admin\Application Data\rmhzb.exe (Worm.Palevo) -> No action taken.
    повторите лог

  8. #7
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39
    Сделал.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    чисто

    Добавлено через 48 секунд

    Обновите систему
    - Поставте все последние обновления системы Windows - тут
    - поставте Adobe Reader 9.3 или удалите старый.
    Последний раз редактировалось polword; 28.09.2010 в 14:34. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39
    Спасибо огромное за помощь!!

  11. #10
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39
    при загрузке в безопасном режиме, по-прежнему, выдает BSOD...дампы не сохраняются

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(10);
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     RebootWindows(true);
    end.

  13. #12
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    119
    Вес репутации
    39
    Все получилось, спасибо!
    А в чем была проблема?

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\temp\\nn0.exe - Trojan-Downloader.Win32.FraudLoad.xjog ( DrWEB: Trojan.DownLoad2.16745, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-BX [Cryp] )
      2. c:\\windows\\temp\\nn1.exe - Packed.Win32.Katusha.n ( DrWEB: Trojan.Siggen2.3493, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/TrojanDownloader.FakeAlert.BEK trojan, AVAST4: Win32:MalOb-BX [Cryp] )


  • Уважаемый(ая) Ven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проверьте, пожалуйста
      От Jen94 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.11.2010, 21:31
    2. Проверьте пожалуйста
      От Empty smile soul в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2010, 11:29
    3. проверьте пожалуйста
      От роликс в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.11.2009, 18:33
    4. Проверьте пожалуйста
      От tralala в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.03.2009, 14:44
    5. Проверьте, пожалуйста
      От Jen94 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.03.2009, 11:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00958 seconds with 16 queries