Delfin Опубликовано 25 мая, 2015 Жалоба Поделиться Опубликовано 25 мая, 2015 Доброе время суток, знатоки... На днях сын поймал что то, дрвеб постоянно отлавливает одно и тоже и удаляет, но это опять на месте, вэб опять удаляет, но через какое то время это опять на месте... скринов не выкладываю, не знаю счто скринить, логи прицепил... заранее спасибо... CollectionLog-2015.05.25-16.35.zip CollectionLog-2015.05.25-16.35.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 25 мая, 2015 Жалоба Поделиться Опубликовано 25 мая, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\admin\local settings\application data\44fded3d-1432341279-df11-883c-705ab67b6bfb\cnsu202.tmp'); TerminateProcessByName('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\hnsj185.tmp'); TerminateProcessByName('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\jnsy178.tmp'); TerminateProcessByName('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\nspc9.tmp'); StopService('gerugefu'); StopService('hosewopi'); StopService('loxukoce'); StopService('vycogimy'); StopService('4F97C6C78763AA98'); StopService('4F97C6D99DA7DD18'); QuarantineFile('c:\documents and settings\admin\local settings\application data\44fded3d-1432341279-df11-883c-705ab67b6bfb\cnsu202.tmp', ''); QuarantineFile('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\hnsj185.tmp', ''); QuarantineFile('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\jnsy178.tmp', ''); QuarantineFile('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\nspc9.tmp', ''); QuarantineFile('C:\WINDOWS\Temp\3FAE8789B4.sys', ''); QuarantineFile('C:\WINDOWS\Temp\5A7D8B6C04.sys', ''); QuarantineFile('C:\WINDOWS\Temp\Torrent2Exe\T2E.exe', ''); DeleteFile('c:\documents and settings\admin\local settings\application data\44fded3d-1432341279-df11-883c-705ab67b6bfb\cnsu202.tmp', '32'); DeleteFile('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\hnsj185.tmp', '32'); DeleteFile('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\jnsy178.tmp', '32'); DeleteFile('c:\documents and settings\admin\application data\44fded3d-1432330238-df11-883c-705ab67b6bfb\nspc9.tmp', '32'); DeleteFile('C:\WINDOWS\Temp\3FAE8789B4.sys', '32'); DeleteFile('C:\WINDOWS\Temp\5A7D8B6C04.sys', '32'); DeleteFile('C:\WINDOWS\Temp\Torrent2Exe\T2E.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Torrent2Exe','command'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); DeleteService('gerugefu'); DeleteService('hosewopi'); DeleteService('loxukoce'); DeleteService('vycogimy'); DeleteService('4F97C6C78763AA98'); DeleteService('4F97C6D99DA7DD18');BC_ImportALL;ExecuteSysClean;BC_Activate; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
Delfin Опубликовано 25 мая, 2015 Автор Жалоба Поделиться Опубликовано 25 мая, 2015 (изменено) первое отослал через форму остальное во вложении... ClearLNK-25.05.2015_17-44.log AdwCleanerR0.txt ClearLNK-25.05.2015_17-44.log AdwCleanerR0.txt Изменено 25 мая, 2015 пользователем Delfin Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 25 мая, 2015 Жалоба Поделиться Опубликовано 25 мая, 2015 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
Delfin Опубликовано 25 мая, 2015 Автор Жалоба Поделиться Опубликовано 25 мая, 2015 Сделал... AdwCleanerS0.txt AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 25 мая, 2015 Жалоба Поделиться Опубликовано 25 мая, 2015 Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Ссылка на комментарий Поделиться на другие сайты Поделиться
Delfin Опубликовано 25 мая, 2015 Автор Жалоба Поделиться Опубликовано 25 мая, 2015 Повторная... CollectionLog-2015.05.25-22.03.zip CollectionLog-2015.05.25-22.03.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 26 мая, 2015 Жалоба Поделиться Опубликовано 26 мая, 2015 (изменено) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)O4 - HKCU\..\Run: [storegid] C:\Documents and Settings\Admin\Local Settings\Application Data\storegid\storegid.exe В остальном порядок. Что с проблемой? Изменено 26 мая, 2015 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты Поделиться
Delfin Опубликовано 26 мая, 2015 Автор Жалоба Поделиться Опубликовано 26 мая, 2015 Спасибо... пока вроде ничего не вылезает... понаблюдаю пару дней... Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 26 мая, 2015 Жалоба Поделиться Опубликовано 26 мая, 2015 Пока наблюдаете, проверьте уязвимости системы - Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти