Ноут не видел сети вообще - при сканировании ничего не нашлось, но последовательное скрипт3-скрипт2-Hijackthis-ручками отключил подозрительные ключи RUN-восстановление системы (опции связанные с проводником, сетью и IE, в том числе 1.
Сейчас сетка работает нормально, только при входе в десктоп как-то подлипает.
Проверьте пож-та логи - кто там еще прячется?
Последний раз редактировалось ascodts; 20.03.2011 в 16:09.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Новые логи. Я вот только не помню - карантин отправил или нет.
Последний раз редактировалось ascodts; 20.03.2011 в 16:09.
Не-а, не отправили.
Добавлено через 5 минут
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\Samsung\MITs\MITs Wizard 3.0\Common\OTT_ParseSEMIMOTION.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Последний раз редактировалось olejah; 30.11.2010 в 11:13. Причина: Добавлено
Результат загрузки
Файл сохранён как.........101130_112143_quarantine_4cf4b41773d6e .zip
Размер файла................1156
MD5..............................d93fc6b3bc9a5f46d ec44c0f0b228f0e
C:\Program Files\Samsung\MITs\MITs Wizard 3.0\Common\OTT_ParseSEMIMOTION.dll - вот этот файл проверьте на http://www.virustotal.com/. Ссылку на результат приложите сюда.
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 77f3e526fab6198759a3477c0546a41c
Date first seen: 2009-05-30 23:23:08 (UTC)
Date last seen: 2009-05-30 23:23:08 (UTC)
Detection ratio: 0/40
Что с проблемой?
- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: OTT_ParseSEMIMOTION.dll
Submission date: 2010-11-30 08:52:59 (UTC)
Current status: queued (#4) queued (#4) analysing finished
Result: 0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.30.00 2010.11.29 -
AntiVir 7.10.14.136 2010.11.29 -
Antiy-AVL 2.0.3.7 2010.11.30 -
Avast 4.8.1351.0 2010.11.29 -
Avast5 5.0.677.0 2010.11.29 -
AVG 9.0.0.851 2010.11.30 -
BitDefender 7.2 2010.11.30 -
CAT-QuickHeal 11.00 2010.11.30 -
ClamAV 0.96.4.0 2010.11.30 -
Command 5.2.11.5 2010.11.30 -
Comodo 6898 2010.11.30 -
DrWeb 5.0.2.03300 2010.11.30 -
Emsisoft 5.0.0.50 2010.11.30 -
eSafe 7.0.17.0 2010.11.29 -
eTrust-Vet 36.1.8007 2010.11.29 -
F-Prot 4.6.2.117 2010.11.29 -
F-Secure 9.0.16160.0 2010.11.30 -
Fortinet 4.2.254.0 2010.11.29 -
GData 21 2010.11.30 -
Ikarus T3.1.1.90.0 2010.11.30 -
Jiangmin 13.0.900 2010.11.30 -
K7AntiVirus 9.69.3115 2010.11.29 -
Kaspersky 7.0.0.125 2010.11.30 -
McAfee 5.400.0.1158 2010.11.30 -
McAfee-GW-Edition 2010.1C 2010.11.30 -
Microsoft 1.6402 2010.11.30 -
NOD32 5659 2010.11.29 -
Norman 6.06.10 2010.11.29 -
nProtect 2010-11-30.01 2010.11.30 -
Panda 10.0.2.7 2010.11.29 -
PCTools 7.0.3.5 2010.11.30 -
Prevx 3.0 2010.11.30 -
Rising 22.76.00.03 2010.11.30 -
Sophos 4.60.0 2010.11.30 -
SUPERAntiSpyware 4.40.0.1006 2010.11.30 -
Symantec 20101.2.0.161 2010.11.30 -
TheHacker 6.7.0.1.093 2010.11.30 -
TrendMicro 9.120.0.1004 2010.11.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 -
VBA32 3.12.14.2 2010.11.29 -
VIPRE 7451 2010.11.30 -
ViRobot 2010.11.30.4176 2010.11.30 -
VirusBuster 13.6.66.0 2010.11.29 -
Additional informationShow all
MD5 : 77f3e526fab6198759a3477c0546a41c
SHA1 : a279b24ae2b67db78dc3abeb555512589a52d0d0
SHA256: b11df9e953712307ba82b7f3b1d5bfc8306585b5705496bf3e 41b5cd1449f933
Добавлено через 2 минуты
Проблем почти нет - только на загрузке долго ждем когда "отпустит" панель задач и когда все отпускает появляется окно о проблемах с подключением к сервису nod32. Nod я удалял через штатные средства. Перед установкой KIS надо-бы зачистить.
Последний раз редактировалось ascodts; 30.11.2010 в 11:58. Причина: Добавлено
Зачищайте так - http://virusinfo.info/showthread.php?t=16646
Неожиданно вылезла проблема - после установки SP3 ноут грузится только в безопасном режиме, в обычном перезагрузка из-за BSOD 0x7e
Удалось решить проблему 0x7e - оказывается есть такая бага у SP3: при установке на некоторые машины с AMD начинает криво запускаться драйвер Intel PPM (c:\windows\system32\drivers\intelppm.sys). Длительность поиска виновного вызвана тем, что запретив его запуск при помощи утилит диска BartPE, на самом деле запуск не прекратил. Помогло просто переименовать его файл. Любопытное наблюдение - при "чистой установке" с диска с интегрированным SP3 все работает нормально.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ascodts, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
