Loader Опубликовано 14 ноября, 2008 Жалоба Поделиться Опубликовано 14 ноября, 2008 (изменено) Чтоб не создавать новую тему пишу здесь (проблема та же) hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 14 ноября, 2008 пользователем Loader Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 14 ноября, 2008 Автор Жалоба Поделиться Опубликовано 14 ноября, 2008 (изменено) Насчет логов - создание идет в процессе, да и сам гляжу может получится обойтись своими силами. Подозреваю ntos Изменено 14 ноября, 2008 пользователем Loader Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 14 ноября, 2008 Жалоба Поделиться Опубликовано 14 ноября, 2008 (изменено) Нужно отключить восстановление системы, чтобы убить вирусы там. Скачай ATFCleaner и удали временные файлы. В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\system32\mmbank.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv74.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp52.sys','');QuarantineFile('Vlg28.sys','');SetServiceStart('Winjp52', 4);SetServiceStart('Winpv74', 4);SetServiceStart('Vlg28', 4);DeleteService('Vlg28');DeleteService('Winpv74');DeleteService('Winjp52');DeleteFile('C:\WINDOWS\System32\Drivers\Vlg28.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winjp52.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpv74.sys');DeleteFile('Vlg28.sys');DeleteFile('C:\Documents and Settings\Nataly\Local Settings\Temporary Internet Files\Content.IE5\4ZFRE8H1\1[1].exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_ImportDeletedList;ExecuteSysClean;ExecuteRepair(6);ExecuteRepair(10);BC_Activate;RebootWindows(true);end. Логи нужно повторить. Одного скрипта скорее всего будет недостаточно. Файл hosts по видимому заполнен сознательно? Изменено 15 ноября, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 15 ноября, 2008 Автор Жалоба Поделиться Опубликовано 15 ноября, 2008 ser208 Скрипт запущу в понедельник. Сраз вопрос: на данном компьютере много программ бухгалтерской отчетности. Написаны они кривовато, так что в логах вполне могут быть заподозрены. Если есть возможность - перепроверить чтоб лишнее не грохнуть. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 15 ноября, 2008 Жалоба Поделиться Опубликовано 15 ноября, 2008 (изменено) ser208 Скрипт запущу в понедельник. Сраз вопрос: на данном компьютере много программ бухгалтерской отчетности. Написаны они кривовато, так что в логах вполне могут быть заподозрены. Если есть возможность - перепроверить чтоб лишнее не грохнуть. Подправил. mmbank попадет только в карантин (по некоторым данным mmbank.exe_ - Trojan-Banker.Win32.Banker.ykw). Выполни потом скрипт.. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. .. и вышли получившийся карантин мне в приват. На таких компьютерах не лишним будет создать образ системного диска перед лечением на всяк пожарный. Изменено 15 ноября, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 17 ноября, 2008 Автор Жалоба Поделиться Опубликовано 17 ноября, 2008 mmbank действительно оказался трояном. Пришлось менять скрипт чтоб он и его удалил Карантин сейчас в личку отправлю. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 17 ноября, 2008 Жалоба Поделиться Опубликовано 17 ноября, 2008 Loader, перед тем как повторять логи, выполните 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');BC_ImportAll;ExecuteSysClean;ExecuteRepair(9);BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. и желательно увидеть новый комплект логов. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 17 ноября, 2008 Автор Жалоба Поделиться Опубликовано 17 ноября, 2008 (изменено) wise-wistful: после твоего скрипта окошко с ошибкой больше не выскакивало. Выкладываю логи avz для контроля virusinfo_syscure.zip Спасибо обоим за помощь. i Уведомление:virusinfo_cure.zip - это карантин. virusinfo_syscure.zip Изменено 17 ноября, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 ноября, 2008 Жалоба Поделиться Опубликовано 17 ноября, 2008 C:\WINDOWS\system32\ntos.exe - новый....отправил в вирлаб C:\WINDOWS\system32\mmbank.exe - Trojan-Banker.Win32.Banker.ykw В логах чисто. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.