Еще одна "больная" машина

**Pili** · 28 октября, 2008

Деинсталлируйте Radmin

Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system\sservice.exe','');QuarantineFile('C:\WINDOWS\system32\fservice.exe','');QuarantineFile('Syunttvrcvss.sys','');QuarantineFile('c:\windows\services.exe','');QuarantineFile('C:\WINDOWS\system32\winkey.dll','');DeleteFile('C:\WINDOWS\system32\winkey.dll');DeleteFile('c:\windows\services.exe');DeleteFile('Syunttvrcvss.sys');DeleteFile('C:\WINDOWS\system32\fservice.exe');DeleteFile('C:\WINDOWS\system\sservice.exe');DeleteFile('C:\WINDOWS\system\sservice.exe');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('Syunttvrcvss');BC_Activate;RebootWindows(true);end.

Пофиксите в HJT

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exeO4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exeO20 - AppInit_DLLs: ,

Проверьте C:\D\L\DA\1\dm9eth5.sys на virustotal.com, результат сообщите.

Не лишним будет провериться с помощью MBAM и cureit

Включите AVZM: AVZ - AVZM - установить драйвер расширенного мониторинга процессов, перезагрузитесь и сделайте новые логи.

**kantrabasin** · 29 октября, 2008

Cделал все, как под копирку.

Вот ссцылка вирустотала http://www.virustotal.com/ru/analisis/15ba...3552f65d795a846

**Pili** · 29 октября, 2008

С помощью cureit и MBAM проверку проводили? В файл hosts сами вносили записи?

Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Выполните скрипт

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\D\L\DA\1\dm9eth5.sys','');QuarantineFile('C:\WINDOWS\system32\kmcsicsv.exe','');QuarantineFile('c:\windows\system32\ctfmon.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipsec.sys','');QuarantineFile('C:\Helen\wonozh.exe','');QuarantineFile('C:\WINDOWS\system32\reginv.dll','');QuarantineFile('C:\WINDOWS\system32\NavLogon.dll','');DeleteFile('C:\WINDOWS\system32\NavLogon.dll');DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\rserv30ru.msi');DeleteFile('C:\WINDOWS\system32\reginv.dll');DeleteFile('C:\WINDOWS\system\sservice.exe');DelCLSID('5Y99AE78-58TT-11dW-BE53-Y67078979Y');ExecuteSysClean;BC_ImportAll;BC_Activate;RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin	CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

Пофиксите в HJT

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ELENA~1.NAZ/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

Запустите в AVZ Мастер поиска и устранения проблем, выберите "Настройки и твики браузера", выставьте степень опасности "Все проблемы", исправьте найденные проблемы.

Повторите логи.

Изменено 29 октября, 2008 пользователем Pili

**kantrabasin** · 30 октября, 2008

Pili сказал:

С помощью cureit и MBAM проверку проводили? В файл hosts сами вносили записи?

Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Очистил. Файл Хост не трогал

mbam_log_2008_10_29__16_39_09_.txtПолучение информации...

mbam_log_2008_10_29__16_39_09_.txtПолучение информации...