Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Что было:

Выскакивало окно что комп заражен торояном / медленно работает / не защищен антивирусом.

Сейчас вроде всё нормально, но всёравно прошу посмотреть.

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем adm_art
Ссылка на комментарий
Поделиться на другие сайты

В HijackThis выделить строки и нажать Fix checked.

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\wmsdkns.exe,O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)O21 - SSODL: ChkKbd - {87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654} - C:\WINDOWS\Installer\{87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654}\ChkKbd.dll (file missing)

В AVZ меню Файл -- Выполнить скрипт. Скопировать код и "Запустить".

beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\Installer\{87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654}\ChkKbd.dll','');QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');SetServiceStart('MSSysInterv', 4);DeleteService('MSSysInterv');BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_DeleteFile('C:\WINDOWS\system32\wmsdkns.exe');BC_DeleteFile('C:\WINDOWS\system32\wowfx.dll');BC_DeleteFile('C:\WINDOWS\system32\spoolvs.exe');BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');BC_Activate;RebootWindows(true);end.

Этим скриптом ты отключишь потенциально уязвимые службы. Посмотри, может что-то нужно. Список служб внизу твоего лога AVZ.

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end.

Дело вкуса, но Spyware Terminator -- вещь на компе явно лишняя.

Кое-что пришлось добавить, так что повтори скрипт, если уже запустил.

Логи сделай еще раз.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Скрипт уже выполнил. (((

Spyware Terminator - кок раз сейчас очень помог. но признаюсь что сегодня использовал его первый раз, и скорее всего снесу его.

Выкладываю ещё раз логи.

avz_sysinfo.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_sysinfo.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем adm_art
Ссылка на комментарий
Поделиться на другие сайты

Ты СureIt проходил системный диск?

Да.

выкладываю новые логи.

Ещё вот этот файл вызывает подозрения.

C:\WINDOWS\mssvr.exe

Размер Файла: 10 752

MD5 Файла: 780A430F4148601A5CE6C4DFCA59245F

Сканирование Реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\a C:\WINDOWS\mssvr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a C:\WINDOWS\mssvr.exe

Вот что про него пишут

mssvr.exe a process belonging to the 2020 Internet Search Toolbar. This process has been classified as a spyware and should be removed to ensure your personal privacy.

Надо будет снести.

avz_sysinfo.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

avz_sysinfo.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем adm_art
Ссылка на комментарий
Поделиться на другие сайты

Восстановление системы: включено - отключите

Отключите временно антивирус. В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('MSSysInterv');SetServiceStart('MSSysInterv', 4);QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');QuarantineFile('wowfx.dll','');QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');QuarantineFile('C:\WINDOWS\winself.exe','');DeleteService('MSSysInterv');DeleteFile('C:\WINDOWS\winself.exe');DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('C:\WINDOWS\system32\spoolvs.exe');DeleteFile('wowfx.dll');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(12);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Повторите логи virusinfo_syscheck.zip, hijackthis

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

C:\WINDOWS\system32\hkco526.exe

C:\WINDOWS\system32\drivers\spools.exe

файлы уже были удалены

Ссылка на quarantine.zip ушла в ПМ.

hijackthis.zip

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscheck.zip

Изменено пользователем adm_art
Ссылка на комментарий
Поделиться на другие сайты

C:\WINDOWS\system32\hkco526.exe

C:\WINDOWS\system32\drivers\spools.exe

файлы уже были удалены

в логах они были, hkco526.exe был, в карантин попал только этот файл - Trojan-Downloader.Win32.Mutant.jz по каспесркому, выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\hkco526.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

В логах больше ничего подозрительного. Какие-нибудь проблемы ещё остались?

Ссылка на комментарий
Поделиться на другие сайты

Всё вроде нормально.

ещё проскакивали:

C:\WINDOWS\system32\dllgh8jkd1q6.exe

C:\WINDOWS\system32\ntos.exe.ren

Но далеко не убежали :)

Всем спасибо за участие.

Ссылка на комментарий
Поделиться на другие сайты

adm_art: можете дополнительно скачать AVPTool и проверить систему.

Для защиты от autorun рекомендую применить reg файл

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета.

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

Pili: Спасибо за советы.

Это был комп менеджера, а они (работники) везде заразу найдут.

Или Макака с Нодом на шлюзе новую заразу пропустит или из дома притащат.

Мне один раз фотоаппарат такого работничка попал, он просил фотки на диск переписать. Так там на карте памяти чего только не было :)

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...