sergiv61 Опубликовано 28 октября, 2010 Жалоба Поделиться Опубликовано 28 октября, 2010 ОС Windows XP Prof SP3, IE8, Avira PSS. Что-то зацепил в Инете. Avira предупредила, но видимо поздно. Произвел полную проверку. Нашел несколько троянов. Один из них Avira никак не могла удалить. В безопасном режиме ПК вообще не работал - где-то через минуту на экране появлялось небольшое окно с предупреждением, что ПК через минуту будет перегружен. В обычном режиме IE8 вообще отказывается загружать страницы (остальные браузеры грузят). AVZ не обновляет свои базы. Cureit нашел несколько вирусов (троянцев), но до конца проверку не прошел - на каком-то из файлов вылетел в перезагрузку. Повторно проверка прошла до конца. RSIT и AVZ отработали без приключений...Логи прилагаю. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 29 октября, 2010 Жалоба Поделиться Опубликовано 29 октября, 2010 Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\7abe9027.exe','');QuarantineFile('c:\windows\system32\mgahnsz.exe','');QuarantineFile('c:\windows\system32\nnmgnar.exe','');DeleteFile('c:\windows\system32\7abe9027.exe');DeleteFile('c:\windows\system32\mgahnsz.exe');DeleteFile('c:\windows\system32\nnmgnar.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end. Компьютер перезагрузится Выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет создан архив с карантином Полученный архив отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@) , отправьте копию карантина на ящик myedde@mail.ru Повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
sergiv61 Опубликовано 29 октября, 2010 Автор Жалоба Поделиться Опубликовано 29 октября, 2010 Файл с карантином отправил на почту. А как отправить на quarantine<at>virusnet.info. Не могу сообразить :-( Прикрепляю новые логи. virusinfo_syscheck.zip info.txt log.txt virusinfo_syscheck.zip info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 29 октября, 2010 Жалоба Поделиться Опубликовано 29 октября, 2010 (изменено) CMS bitrix устанавливали? Высылаю копию карантина. Подскажите пожалуйста как отправить на quarantine<at>virusnet.info (не могу сообразить ...) Вместо <at> подставьте @ , карантин отправьте обязательно. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM.[/url] Изменено 29 октября, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
sergiv61 Опубликовано 29 октября, 2010 Автор Жалоба Поделиться Опубликовано 29 октября, 2010 Карантин отправил. Насчет bitrix не помню. Может быть супруга устанавливала. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
sergiv61 Опубликовано 29 октября, 2010 Автор Жалоба Поделиться Опубликовано 29 октября, 2010 Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Версия базы данных: 4986 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.10.2010 14:34:26 mbam-log-2010-10-29 (14-34-26).txt Тип сканирования: Полное сканирование (C:\|D:\|) Просканированные объекты: 189596 Времени прошло: 29 минут, 47 секунд Зараженные процессы в памяти: 0 Зараженные модули в памяти: 0 Зараженные ключи в реестре: 0 Зараженные параметры в реестре: 0 Объекты реестра заражены: 3 Зараженные папки: 0 Зараженные файлы: 1 Зараженные процессы в памяти: (Вредоносных программ не обнаружено) Зараженные модули в памяти: (Вредоносных программ не обнаружено) Зараженные ключи в реестре: (Вредоносных программ не обнаружено) Зараженные параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Зараженные папки: (Вредоносных программ не обнаружено) Зараженные файлы: C:\WINDOWS\system32\msxslt.dat (Malware.Trace) -> No action taken. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 29 октября, 2010 Жалоба Поделиться Опубликовано 29 октября, 2010 удалите в MBAM C:\WINDOWS\system32\msxslt.dat (Malware.Trace) -> No action taken. Как самочувствие? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
sergiv61 Опубликовано 29 октября, 2010 Автор Жалоба Поделиться Опубликовано 29 октября, 2010 Удалил.Большой респект!!! Возможно будем жить...:-) Проблемы исчезли Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 29 октября, 2010 Жалоба Поделиться Опубликовано 29 октября, 2010 (изменено) Повторите логи для контроля. Плюс содержимое папок C:\Documents and Settings\Admin\Application Data\Bitrix SecurityC:\Documents and Settings\Admin\Application Data\winxrar Упакуйте в архив с паролем virus отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@) , отправьте копию карантина на ящик myedde@mail.ru Изменено 29 октября, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 3 ноября, 2010 Жалоба Поделиться Опубликовано 3 ноября, 2010 Перед повторными логами папку C:\Program Files\Common Files\EBA0A213a удалите вручную Смените все пароли Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.