Jump to content
СофтФорум - всё о компьютерах и не только

Проверьте логи буду благодарен)


Recommended Posts

C:\Documents and Settings\Den.DJS-2A64C74AE56\Local Settings\Temp\help.exe >>>>> Trojan-PSW.Win32.OnLineGames.thx

После лечения смените обязательно пароли на он-лай игрушки (если играете)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('{BFB5F154-9212-46F3-B547-AC6106030A54}');QuarantineFile('C:\Program Files\Search Settings\kb126\SearchSettings.dll','');QuarantineFile('C:\Program Files\Search Settings\SearchSettings.exe','');BC_ImportQuarantineList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Обязательно обновите AVZ и повторите логи

Edited by akoK
Link to comment
Share on other sites

Все сделал как написано :( Спасибо) Надеюсь что в логах все чисто)

Ну незнаю...... я логов в упор не вижу :(

Edited by akoK
Link to comment
Share on other sites

Waik, Вы вереятно перепутали, это наверное virusinfo_cure.zip имеет большой размер - это карантин. Вы кстати akoK отправили карантин?

Waik, ещё один вопрос. Вы устанавливали блокировку на изменение стартовой страницы ИЕ или нет? HijackThis нужно запускать из отдельной папки, а не из архива. Нужно разархивировать, а потом уже фиксите и выполняйте логи.

Пофиксите

O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - (no file)O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)

Ещё нужно подождать ответа akoK по поводу карантина.

Link to comment
Share on other sites

Посмотрел карантин, то что попало безвредно.

На основании: C:\Documents and Settings\Den.DJS-2A64C74AE56\Local Settings\Temp\help.exe >>>>> Trojan-PSW.Win32.OnLineGames.thx

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Да антивирус у Вас какой?

Link to comment
Share on other sites

:)

Посмотрел карантин, то что попало безвредно.

На основании: C:\Documents and Settings\Den.DJS-2A64C74AE56\Local Settings\Temp\help.exe >>>>> Trojan-PSW.Win32.OnLineGames.thx

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Да антивирус у Вас какой?

Касперский 7.0

Waik, ещё один вопрос. Вы устанавливали блокировку на изменение стартовой страницы ИЕ или нет?

Нет) я им не пользуюсь :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Link to comment
Share on other sites

Waik, Вы не ответели Вы устанавливали блокировку на изменение стартовой страницы ИЕ или нет? У Вас установлены какие-либо anti-spyware? И не вижу фаервола. У Вас КАВ насколько видно из логов.

Link to comment
Share on other sites

У Вас установлены какие-либо anti-spyware? И не вижу фаервола. У Вас КАВ насколько видно из логов.

нет!Только КАВ

Вы устанавливали блокировку на изменение стартовой страницы ИЕ или нет?

Отвечал выше)

Link to comment
Share on other sites

Простите не заметил Ваш ответ :) Если не ставили никаких блокировок, тогда профиксите

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Больше никаких последствий действия вирусов не наблюдается. Фаервол то же бы не помешало установить.

Link to comment
Share on other sites

Диск Д это что?

Выполните в АВЗ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:\xpbkh.com','');QuarantineFile('D:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');BC_ImportAll;BC_Activate;RebootWindows(true);end.

Потом

beginCreateQurantineArchive(GetAVZDirectory+'quarantineWaik.zip');end.

quarantineWaik.zip - из папки АВЗ вышлите на адрес 54712@rambler.ru

Link to comment
Share on other sites

Карантин получил. Там D:\autorun.inf и D:\xpbkh.com - Worm.Win32.AutoRun.cxk. Посему

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('D:\autorun.inf');DeleteFile('D:\xpbkh.com');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Повторите логи.

Link to comment
Share on other sites

Waik: Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Перезагрузитесь

Скачайте и запустите утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Рекомендую деинсталлировать StyleXPService, CursorXP и тому подобные украшательства, вреда от них больше чем пользы, и вряд ли совместимо с грядущим SP3, рекомендую также деинсталлировать FlashGet и использовать другой менеджер закачки, напр. reget

Повторите логи

Logfile of HijackThis v1.99.1 - скачайте HijackThis 2.02

Edited by Pili
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...