aytishnikcom Опубликовано 27 января, 2010 Жалоба Поделиться Опубликовано 27 января, 2010 Здравствуйте! Система была заражена вирусом internet security который требовал отослать cmc, удали при помощи нода. Подскажите пожалуйста что нибудь еще подозрительного осталось? Что то мне кажется вот эти строки подозрительные: HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Большое спасибо! hijackthis.log hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 27 января, 2010 Жалоба Поделиться Опубликовано 27 января, 2010 (изменено) Здравствуйте! Однoгo логa HijackThis мало. Нужны логи AVZ virusinfo_syscure.zip, virusinfo_syscheck.zip. Пожалуйста, выполните правила: http://www.softboard.ru/index.php?showtopic=51343 Изменено 27 января, 2010 пользователем шпилька Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 28 января, 2010 Жалоба Поделиться Опубликовано 28 января, 2010 Что то мне кажется вот эти строки подозрительные: Приведенные вами строки как раз нормальные. Сделайте то что просила шпилька. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
aytishnikcom Опубликовано 28 января, 2010 Автор Жалоба Поделиться Опубликовано 28 января, 2010 Приведенные вами строки как раз нормальные. Сделайте то что просила шпилька. В выходные только получиться компьютер моего знакомого. ТроПа, здесь продолжение с логами AVZ. :doh: Нет это соседке по лестничной площадки Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 28 января, 2010 Жалоба Поделиться Опубликовано 28 января, 2010 (изменено) Нет это соседке по лестничной площадки Ну вот, теперь все стало на свои места. Извиняюсь, свое сообщение удалила. :doh: Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные, смотрите - что удаляете). Откройте лог и скопируйте в сообщение. +Логи AVZ. Изменено 29 января, 2010 пользователем шпилька Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
aytishnikcom Опубликовано 1 февраля, 2010 Автор Жалоба Поделиться Опубликовано 1 февраля, 2010 Ну вот, теперь все стало на свои места. Извиняюсь, свое сообщение удалила. :) Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные, смотрите - что удаляете). Откройте лог и скопируйте в сообщение. +Логи AVZ. Вот сделал лог. ( Почему то у меня нет кнопки редактировать запись в форуме, вроде была) virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
шпилька Опубликовано 1 февраля, 2010 Жалоба Поделиться Опубликовано 1 февраля, 2010 ( Почему то у меня нет кнопки редактировать запись в форуме, вроде была) Новички не могут редактировать сообщения. :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 1 февраля, 2010 Жалоба Поделиться Опубликовано 1 февраля, 2010 Скачайте CureIt! зпустите проверку всех дисков Повторите логи авз + лог Rsit Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
aytishnikcom Опубликовано 4 февраля, 2010 Автор Жалоба Поделиться Опубликовано 4 февраля, 2010 Скачайте CureIt! зпустите проверку всех дисков Повторите логи авз + лог Rsit CureIt! это делали с самого начала. Логи предоставил, выше. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 4 февраля, 2010 Жалоба Поделиться Опубликовано 4 февраля, 2010 (изменено) Если вас не смущает то что лог трехдневной давности :blush2: выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\~.exe','');QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');QuarantineFile('C:\WINDOWS\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA','');QuarantineFile('c:\windows\system32\svchost.exe','');QuarantineFile('c:\windows\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA','');QuarantineFile('C:\WINDOWS\Help\cdmedia.chm:cpBXTZZ1cJsJGG2No4gD:$DATA','');DeleteFile('C:\WINDOWS\Help\cdmedia.chm:cpBXTZZ1cJsJGG2No4gD:$DATA');DeleteFile('c:\windows\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA');DeleteFile('C:\WINDOWS\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');DeleteFile('C:\WINDOWS\system32\~.exe');DeleteFile('G:\autorun.inf');DelBHO('{C5428486-50A0-4a02-9D20-520B59A9F9B2}');DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. Коипьютер перезагрузится После перезагрузки выполните второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com Повторите логи + Нужен лог RSIT Изменено 4 февраля, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.