adm_art Опубликовано 15 апреля, 2008 Жалоба Поделиться Опубликовано 15 апреля, 2008 (изменено) Что было: Выскакивало окно что комп заражен торояном / медленно работает / не защищен антивирусом. Сейчас вроде всё нормально, но всёравно прошу посмотреть. hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 15 апреля, 2008 пользователем adm_art Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 15 апреля, 2008 Жалоба Поделиться Опубликовано 15 апреля, 2008 (изменено) В HijackThis выделить строки и нажать Fix checked. F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\wmsdkns.exe,O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)O21 - SSODL: ChkKbd - {87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654} - C:\WINDOWS\Installer\{87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654}\ChkKbd.dll (file missing) В AVZ меню Файл -- Выполнить скрипт. Скопировать код и "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\Installer\{87fa01e0-1cfe-45e4-abb0-3e4e9d9ab654}\ChkKbd.dll','');QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');SetServiceStart('MSSysInterv', 4);DeleteService('MSSysInterv');BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_DeleteFile('C:\WINDOWS\system32\wmsdkns.exe');BC_DeleteFile('C:\WINDOWS\system32\wowfx.dll');BC_DeleteFile('C:\WINDOWS\system32\spoolvs.exe');BC_DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');BC_Activate;RebootWindows(true);end. Этим скриптом ты отключишь потенциально уязвимые службы. Посмотри, может что-то нужно. Список служб внизу твоего лога AVZ. beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end. Дело вкуса, но Spyware Terminator -- вещь на компе явно лишняя. Кое-что пришлось добавить, так что повтори скрипт, если уже запустил. Логи сделай еще раз. Изменено 15 апреля, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
adm_art Опубликовано 15 апреля, 2008 Автор Жалоба Поделиться Опубликовано 15 апреля, 2008 (изменено) Скрипт уже выполнил. ((( Spyware Terminator - кок раз сейчас очень помог. но признаюсь что сегодня использовал его первый раз, и скорее всего снесу его. Выкладываю ещё раз логи. avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 15 апреля, 2008 пользователем adm_art Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 15 апреля, 2008 Жалоба Поделиться Опубликовано 15 апреля, 2008 Ты СureIt проходил системный диск? Скрипт нужно еще раз выполнить и логи повторить. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
adm_art Опубликовано 16 апреля, 2008 Автор Жалоба Поделиться Опубликовано 16 апреля, 2008 (изменено) Ты СureIt проходил системный диск? Да. выкладываю новые логи. Ещё вот этот файл вызывает подозрения. C:\WINDOWS\mssvr.exe Размер Файла: 10 752 MD5 Файла: 780A430F4148601A5CE6C4DFCA59245F Сканирование Реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\a C:\WINDOWS\mssvr.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a C:\WINDOWS\mssvr.exe Вот что про него пишут mssvr.exe a process belonging to the 2020 Internet Search Toolbar. This process has been classified as a spyware and should be removed to ensure your personal privacy. Надо будет снести. avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip avz_sysinfo.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 16 апреля, 2008 пользователем adm_art Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 апреля, 2008 Жалоба Поделиться Опубликовано 16 апреля, 2008 (изменено) Восстановление системы: включено - отключите Отключите временно антивирус. В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('MSSysInterv');SetServiceStart('MSSysInterv', 4);QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');QuarantineFile('wowfx.dll','');QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');QuarantineFile('C:\WINDOWS\winself.exe','');DeleteService('MSSysInterv');DeleteFile('C:\WINDOWS\winself.exe');DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('C:\WINDOWS\system32\spoolvs.exe');DeleteFile('wowfx.dll');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(12);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку). Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Повторите логи virusinfo_syscheck.zip, hijackthis Изменено 16 апреля, 2008 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
adm_art Опубликовано 16 апреля, 2008 Автор Жалоба Поделиться Опубликовано 16 апреля, 2008 (изменено) C:\WINDOWS\system32\hkco526.exe C:\WINDOWS\system32\drivers\spools.exe файлы уже были удалены Ссылка на quarantine.zip ушла в ПМ. hijackthis.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscheck.zip Изменено 16 апреля, 2008 пользователем adm_art Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 апреля, 2008 Жалоба Поделиться Опубликовано 16 апреля, 2008 C:\WINDOWS\system32\hkco526.exeC:\WINDOWS\system32\drivers\spools.exe файлы уже были удалены в логах они были, hkco526.exe был, в карантин попал только этот файл - Trojan-Downloader.Win32.Mutant.jz по каспесркому, выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\hkco526.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. В логах больше ничего подозрительного. Какие-нибудь проблемы ещё остались? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
adm_art Опубликовано 16 апреля, 2008 Автор Жалоба Поделиться Опубликовано 16 апреля, 2008 Всё вроде нормально. ещё проскакивали: C:\WINDOWS\system32\dllgh8jkd1q6.exe C:\WINDOWS\system32\ntos.exe.ren Но далеко не убежали :) Всем спасибо за участие. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 апреля, 2008 Жалоба Поделиться Опубликовано 16 апреля, 2008 (изменено) adm_art: можете дополнительно скачать AVPTool и проверить систему. Для защиты от autorun рекомендую применить reg файл Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"="" Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета. Изменено 16 апреля, 2008 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
adm_art Опубликовано 16 апреля, 2008 Автор Жалоба Поделиться Опубликовано 16 апреля, 2008 Pili: Спасибо за советы. Это был комп менеджера, а они (работники) везде заразу найдут. Или Макака с Нодом на шлюзе новую заразу пропустит или из дома притащат. Мне один раз фотоаппарат такого работничка попал, он просил фотки на диск переписать. Так там на карте памяти чего только не было :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.