-
Junior Member
- Вес репутации
- 65
ПЕРЕЗАГРУЗКА КОМПЬЮТЕРА ПРИ ПОПЫТКЕ ПОДКЛЮЧЕНИЯ К ИНТЕРНЕТУ (проблема у товарища)
Друзья!
Решил помочь товарищу по работе: у него дома в последнее время невозможно выйти в Интернет - компьютер сразу же перезагружается! Дал ему AVZ и HijackThis - он проверил всё: кое-что удалилось, но проблема осталась... :-(
Посмотрите логи, пожалуйста, и помогите кто чем может!
Thanx!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт в AVZ
Код:
begin
BC_QrSvc('pe386');
BC_DeleteSvc('pe386');
BC_DeleteFile('C:\WINDOWS\system32:lzx32.sys');
BC_Activate;
RebootWindows(true);
end.
Потом ещё один
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\lexpps.exe','');
QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\428174023.dll','');
QuarantineFile('H:\daemon403-x86.exe','');
QuarantineFile('E:\C4C4~1\CB16~1\!!!~1\AQUARI~1\AQUARI~1.SCR','');
QuarantineFile('C:\WINDOWS\winlogon32.dll','');
QuarantineFile('c:\windows\winlogon32.exe','');
DeleteFile('c:\windows\winlogon32.exe');
DeleteFile('C:\WINDOWS\winlogon32.dll');
DeleteFile('C:\Documents and Settings\Администратор\428174023.dll');
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки "пофиксите" в HijackThis
Код:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\Documents and Settings\Администратор\428174023.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl56bd.cab
Настройки прокси-сервера Ваш друг сам прописывал? Если нет, тогда и это фиксить
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.ccl.ru:3128
H:\daemon403-x86.exe - это тоже Ваш друг сам прописывал в автозагрузку?
Пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи.
-
-
Junior Member
- Вес репутации
- 65
работа проведена!
MaXim, спасибо за помощь!
работа проведена - проблема вроде бы устранена (выход в Инет осуществлен!)...
высылаю логи последней проверки: посмотрите, пожалуйста, чисто ли?
да, вот ещё что...
что делать с файлами в папке "Карантин" у AVZ?
Товарищ говорит, что их там "...уева туча"... Можно ли просто удалить Shift+Del?
Thanx!
-
Похоже Ваш друг времени даром не терял и подцепил ещё одного трояна. Впрочем без антивируса он будет нашим постоянным клиентом. Восстановление системы нужно отключить, иначе все лечение насмарку. Вы также не ответили на вопрос, относительно прокси-сервера. Один словом если Вы заинтересованы в лечении, то выполняйте все рекомендации, если нет, я закрою тему.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\C4C4~1\CB16~1\!!!~1\AQUARI~1\AQUARI~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
QuarantineFile('C:\WINDOWS\Mstray11.exe','');
DeleteFile('C:\WINDOWS\system32\itunesff.exe');
DeleteFile('C:\WINDOWS\Mstray11.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\Mstray11.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c56 -w
O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -i
Заархивируйте под пароль virus папку AVZ - Quarantine в zip архив и загрузите через эту. Повторите логи.
Последний раз редактировалось Макcим; 23.05.2007 в 11:35.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
MaXim
Вы также не ответили на вопрос, относительно прокси-сервера.
прокси - он сказал, что прописывал сам...
насчет отключения восстановления системы - я ему об этом напоминал!..
Эту тему, наверное, можно закрывать... (раз с выходом в Инет всё в порядке)
Я ему сказал, чтобы он зарегистрировался на форуме и если будут проблемы - чтобы писал сюда.
Ваше сообщение я доведу до его сведения -надеюсь, у него самого всё получится.
Вам огромное спасибо за помощь и терпение!
-
Комп ещё от трояна не вылечен... Последний найденный троян, модифицирует настройки сети... Если компьютер недолечить, то проблемы будут постоянно!
-
-
Junior Member
- Вес репутации
- 65
хорошо, я передам товарищу!
ещё раз спасибо! :-)