aytishnikcom Posted January 27, 2010 Report Share Posted January 27, 2010 Здравствуйте! Система была заражена вирусом internet security который требовал отослать cmc, удали при помощи нода. Подскажите пожалуйста что нибудь еще подозрительного осталось? Что то мне кажется вот эти строки подозрительные: HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Большое спасибо! hijackthis.log hijackthis.log Quote Link to comment Share on other sites More sharing options...
шпилька Posted January 27, 2010 Report Share Posted January 27, 2010 (edited) Здравствуйте! Однoгo логa HijackThis мало. Нужны логи AVZ virusinfo_syscure.zip, virusinfo_syscheck.zip. Пожалуйста, выполните правила: http://www.softboard.ru/index.php?showtopic=51343 Edited January 27, 2010 by шпилька Quote Link to comment Share on other sites More sharing options...
ТроПа Posted January 28, 2010 Report Share Posted January 28, 2010 Что то мне кажется вот эти строки подозрительные: Приведенные вами строки как раз нормальные. Сделайте то что просила шпилька. Quote Link to comment Share on other sites More sharing options...
aytishnikcom Posted January 28, 2010 Author Report Share Posted January 28, 2010 Приведенные вами строки как раз нормальные. Сделайте то что просила шпилька. В выходные только получиться компьютер моего знакомого. ТроПа, здесь продолжение с логами AVZ. :doh: Нет это соседке по лестничной площадки Quote Link to comment Share on other sites More sharing options...
шпилька Posted January 28, 2010 Report Share Posted January 28, 2010 (edited) Нет это соседке по лестничной площадки Ну вот, теперь все стало на свои места. Извиняюсь, свое сообщение удалила. :doh: Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные, смотрите - что удаляете). Откройте лог и скопируйте в сообщение. +Логи AVZ. Edited January 29, 2010 by шпилька Quote Link to comment Share on other sites More sharing options...
aytishnikcom Posted February 1, 2010 Author Report Share Posted February 1, 2010 Ну вот, теперь все стало на свои места. Извиняюсь, свое сообщение удалила. :) Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные, смотрите - что удаляете). Откройте лог и скопируйте в сообщение. +Логи AVZ. Вот сделал лог. ( Почему то у меня нет кнопки редактировать запись в форуме, вроде была) virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
шпилька Posted February 1, 2010 Report Share Posted February 1, 2010 ( Почему то у меня нет кнопки редактировать запись в форуме, вроде была) Новички не могут редактировать сообщения. :) Quote Link to comment Share on other sites More sharing options...
edde Posted February 1, 2010 Report Share Posted February 1, 2010 Скачайте CureIt! зпустите проверку всех дисков Повторите логи авз + лог Rsit Quote Link to comment Share on other sites More sharing options...
aytishnikcom Posted February 4, 2010 Author Report Share Posted February 4, 2010 Скачайте CureIt! зпустите проверку всех дисков Повторите логи авз + лог Rsit CureIt! это делали с самого начала. Логи предоставил, выше. Quote Link to comment Share on other sites More sharing options...
edde Posted February 4, 2010 Report Share Posted February 4, 2010 (edited) Если вас не смущает то что лог трехдневной давности :blush2: выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\~.exe','');QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');QuarantineFile('C:\WINDOWS\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA','');QuarantineFile('c:\windows\system32\svchost.exe','');QuarantineFile('c:\windows\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA','');QuarantineFile('C:\WINDOWS\Help\cdmedia.chm:cpBXTZZ1cJsJGG2No4gD:$DATA','');DeleteFile('C:\WINDOWS\Help\cdmedia.chm:cpBXTZZ1cJsJGG2No4gD:$DATA');DeleteFile('c:\windows\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA');DeleteFile('C:\WINDOWS\system32\plugin.ocx:cpBXTZZ1cJsJGG2No4gD:$DATA');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');DeleteFile('C:\WINDOWS\system32\~.exe');DeleteFile('G:\autorun.inf');DelBHO('{C5428486-50A0-4a02-9D20-520B59A9F9B2}');DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. Коипьютер перезагрузится После перезагрузки выполните второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com Повторите логи + Нужен лог RSIT Edited February 4, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.