Я опять к вам за помощью. НОД32 не нашел вирусы. А комп стал тормозить и не выключается. Помогите, пожалуйста.
Я опять к вам за помощью. НОД32 не нашел вирусы. А комп стал тормозить и не выключается. Помогите, пожалуйста.
Последний раз редактировалось Alfiya; 20.06.2007 в 19:54.
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\system32\b4fm.dll',''); QuarantineFile('E:\Documents and Settings\Альфия\2216318.dll',''); QuarantineFile('E:\WINDOWS\winhp32.exe',''); QuarantineFile('E:\WINDOWS\system32\swmclip.dll',''); QuarantineFile('e:\docume~1\f792~1\locals~1\temp\winlogon.exe',''); DeleteFile('e:\docume~1\f792~1\locals~1\temp\winlogon.exe'); DeleteFile('E:\Documents and Settings\Альфия\2216318.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
и повторите логи
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Я очень извиняюсь, а как залить содержимое папки сегодняшнего числа? У меня там файлы со странным расширением.
"Архивировать карантин" опция называется.
Спасибо, я уже поняла и отправила.
Последний раз редактировалось Alfiya; 20.06.2007 в 19:54.
Один не попался. Остальное смотрим.
Выполните такой скрипт:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\winhp32.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Все сделала и выслала.
Опять не попался.
Попробуйте в AVZ найти его в "Поиске файлов", добавить в карантин и прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А как его найти в АVZ?
Хотел сразу ссылку дать, да поленился искать
http://virusinfo.info/showthread.php?t=4567
А по-простому "Сервис" -- "Поиск файлов на диске" -- если найдется, есть кнопочка добавить в карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл не нашелся. ((
E:\WINDOWS\system32\swmclip.dll - Trojan-PSW.Win32.WebMoner.l
(новый! надо полагать, крадет пароли Webmoney)
e:\docume~1\f792~1\locals~1\temp\winlogon.exe - Trojan-Proxy.Win32.Small.du
(тоже свеженький, его уже прибили)
"Неуловимый" скорее всего отсутствует.
Выполните скрипт:
После перезагрузки сделайте новые логи п.10 и 12 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\WINDOWS\system32\swmclip.dll'); DeleteFile('E:\WINDOWS\winhp32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Очередная попытка.
В AVZ включить AVZPM (установить драйвер). Перезагрузиться.
Затем поискать в AVZ E:\WINDOWS\winhp32.exe.
Ссылочка для уточнения, почему нужен этот файл.
http://www.sophos.com/security/analy...ojclckrky.html
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ОК. Выполните вначале совет PavelA .
Ничего опять не нашлось.
И где я это новье нацепляла? Вроде осторожно общалась с людьми.
Последний раз редактировалось Alfiya; 20.06.2007 в 19:54.
@Bratez
Думаю, надо попробовать удалить этого неуловимого Джо.
Виден это файл только при подавлении руткитов. Не верится мне, что это от какого-то легального софта.
Кстати, как у Вас на машине два файерволла уживаются. Наверное, надо одного оставить. Это задачка, правда, уже на потом.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Буду рада, если Вы попробуете помочь поймать этого Джо.
А я и не знала, что у меня 2 файерволла стоят. Я один снесла, и сегодня поставила другой.
Судя по последним логам, мой скрипт из #12 выполнен успешно, так что "Джо" уже Вас покинул... Осталось пофиксить в HijackThis:Буду рада, если Вы попробуете помочь поймать этого Джо.
Код:O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - E:\Documents and Settings\Альфия\2216318.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O21 - SSODL: VStorage - {D0DEA98A-2E75-4479-A3FE-3B0B1DE4642B} - swmclip.dll (file missing)
Последний раз редактировалось Bratez; 28.04.2007 в 05:14.
@Bratez Я в этом не уверен. Он не был виден ни в логе HJ, ни в логе без подавления руткитов.
@Alfiya Выполните, плс, п.8 Правил. Это стандартный скрипт №3
Приложите лог для моего спокойствия.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Отправила файл.
Последний раз редактировалось Alfiya; 20.06.2007 в 19:54.
Уважаемый(ая) Alfiya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.