Loader Posted November 14, 2008 Report Share Posted November 14, 2008 (edited) Чтоб не создавать новую тему пишу здесь (проблема та же) hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscure.zip virusinfo_syscheck.zip Edited November 14, 2008 by Loader Quote Link to comment Share on other sites More sharing options...
Loader Posted November 14, 2008 Author Report Share Posted November 14, 2008 (edited) Насчет логов - создание идет в процессе, да и сам гляжу может получится обойтись своими силами. Подозреваю ntos Edited November 14, 2008 by Loader Quote Link to comment Share on other sites More sharing options...
ser208 Posted November 14, 2008 Report Share Posted November 14, 2008 (edited) Нужно отключить восстановление системы, чтобы убить вирусы там. Скачай ATFCleaner и удали временные файлы. В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\system32\mmbank.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv74.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp52.sys','');QuarantineFile('Vlg28.sys','');SetServiceStart('Winjp52', 4);SetServiceStart('Winpv74', 4);SetServiceStart('Vlg28', 4);DeleteService('Vlg28');DeleteService('Winpv74');DeleteService('Winjp52');DeleteFile('C:\WINDOWS\System32\Drivers\Vlg28.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winjp52.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpv74.sys');DeleteFile('Vlg28.sys');DeleteFile('C:\Documents and Settings\Nataly\Local Settings\Temporary Internet Files\Content.IE5\4ZFRE8H1\1[1].exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_ImportDeletedList;ExecuteSysClean;ExecuteRepair(6);ExecuteRepair(10);BC_Activate;RebootWindows(true);end. Логи нужно повторить. Одного скрипта скорее всего будет недостаточно. Файл hosts по видимому заполнен сознательно? Edited November 15, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
Loader Posted November 15, 2008 Author Report Share Posted November 15, 2008 ser208 Скрипт запущу в понедельник. Сраз вопрос: на данном компьютере много программ бухгалтерской отчетности. Написаны они кривовато, так что в логах вполне могут быть заподозрены. Если есть возможность - перепроверить чтоб лишнее не грохнуть. Quote Link to comment Share on other sites More sharing options...
ser208 Posted November 15, 2008 Report Share Posted November 15, 2008 (edited) ser208 Скрипт запущу в понедельник. Сраз вопрос: на данном компьютере много программ бухгалтерской отчетности. Написаны они кривовато, так что в логах вполне могут быть заподозрены. Если есть возможность - перепроверить чтоб лишнее не грохнуть. Подправил. mmbank попадет только в карантин (по некоторым данным mmbank.exe_ - Trojan-Banker.Win32.Banker.ykw). Выполни потом скрипт.. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. .. и вышли получившийся карантин мне в приват. На таких компьютерах не лишним будет создать образ системного диска перед лечением на всяк пожарный. Edited November 15, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
Loader Posted November 17, 2008 Author Report Share Posted November 17, 2008 mmbank действительно оказался трояном. Пришлось менять скрипт чтоб он и его удалил Карантин сейчас в личку отправлю. Quote Link to comment Share on other sites More sharing options...
ТроПа Posted November 17, 2008 Report Share Posted November 17, 2008 Loader, перед тем как повторять логи, выполните 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');BC_ImportAll;ExecuteSysClean;ExecuteRepair(9);BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. и желательно увидеть новый комплект логов. Quote Link to comment Share on other sites More sharing options...
Loader Posted November 17, 2008 Author Report Share Posted November 17, 2008 (edited) wise-wistful: после твоего скрипта окошко с ошибкой больше не выскакивало. Выкладываю логи avz для контроля virusinfo_syscure.zip Спасибо обоим за помощь. i Уведомление:virusinfo_cure.zip - это карантин. virusinfo_syscure.zip Edited November 17, 2008 by akoK Quote Link to comment Share on other sites More sharing options...
akoK Posted November 17, 2008 Report Share Posted November 17, 2008 C:\WINDOWS\system32\ntos.exe - новый....отправил в вирлаб C:\WINDOWS\system32\mmbank.exe - Trojan-Banker.Win32.Banker.ykw В логах чисто. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.