1.Подменяется e-gold аккоунт обменника на хакерский в sci форме при обмене
e-golda в автообменниках
2.По логам фаервола происходит постоянное обращение по TCP
на 200.115.171.170.
3. часто виснет IE
Заранее спасибо
1.Подменяется e-gold аккоунт обменника на хакерский в sci форме при обмене
e-golda в автообменниках
2.По логам фаервола происходит постоянное обращение по TCP
на 200.115.171.170.
3. часто виснет IE
Заранее спасибо
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин после перезагрузки согласно приложения 3 правил .Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll ' ,''); QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' ); QuarantineFile('tphklock.dll',''); QuarantineFile('notifyf2.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); BC_ImportQuarantinelist; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
+ лог-файл boot_clr.log из директории AVZ
Это не лечение, это только анализ.
Последний раз редактировалось PavelA; 27.04.2007 в 17:44. Причина: обшибся Bratez, thanks
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Опечатка. Прывильный скрипт:Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll',''); QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' ); QuarantineFile('tphklock.dll',''); QuarantineFile('notifyf2.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); BC_ImportQuarantinelist; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Вверху см. ссылку
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
залил
По симантеку Infostealer.Banker.c ntos.exe и все tmp из директории TEMP
В безопасном режиме выполнить скрипт.
После перезагрузки прислать boot_clr.log и если что-то попадет в карантин.Код:begin ClearQuarantine(); SetAVZGuardStatus(True); QuarantineFile('tphklock.dll',''); QuarantineFile('notifyf2.dll',''); BC_DeleteFile('C:\temp\*.*'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось PavelA; 27.04.2007 в 19:35.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
что значит удалить с shift?
Это когда в проводнике удаляешь, то нажимаешь правую клавишу мыши, выбираешь удалить и держишь нажатой клавишу "Shift"
Я попробовал это в скрипте сделать. Проверим как это сработает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не пускается:
too many aktual parametrs в позиции 7-12
поправил. Никак не возьму в голову привычку проверять скрипт перед отправкой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В карантин, кроме ini-файлов что-то попало?
Чистим директорию Temp ручками.
Делаем лог hijackThis.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
уже чисто.
а это ваши ? :
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC0A6C5-3BE2-471F-A781-E3EF454D8FA5}: NameServer = 81.25.32.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC238D73-6318-4877-9E82-524267973958}: NameServer = 81.25.32.34,81.25.32.9
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Вот это непорядок. Д.б. только userinit.exe с запятой. Не совсем уверен, что это можно в Hijack профиксить.
Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Остался еще загадочный файл notifyf2.dll, который упорно уклоняется от карантинизации Попробуйте разыскать его вручную (см. приложение 2 правил).
Уважаемый(ая) pavel77, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.