Решена Помогите почистить

Тема в разделе "Лечение компьютерных вирусов", создана пользователем aliwas, 13 авг 2011.

Статус темы:
Закрыта.
  1. aliwas
    Оффлайн

    aliwas Активный пользователь

    Сообщения:
    108
    Симпатии:
    1
    История достаточно длинная и не совсем всеселая. Обращался за помощью на на другие ресурсы, не получил. Не буду расписывать здесь произошедшее, чтоб не получилась реклама(вернее антиреклама) другим аналогичным мервисам. Если хелперам станет интересна предыстория, могу рассказать в личке.Итак, есть сильно зараженный компьютер. Все попытки удалить через скрипт avptool закончились неудачей. Есть лог MBAM. Высылаю все хозяйство, в расчете что хоть на этом сервисе работает адекватная команда, которая поможет.
     

    Вложения:

  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('2712596drv', 4);
     StopService('2712596drv');
     QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
     QuarantineFile('C:\Documents and Settings\Admin\Шаблоны\6084-NendangBro.com','');
     QuarantineFile('cmd-brontok.exe','');
     QuarantineFile('2712596drv.sys','');
     QuarantineFile('ACDV.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\67804117.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\2712596drv.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\2712596drv.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\67804117.sys');
     DeleteFile('2712596drv.sys');
     DeleteFile('cmd-brontok.exe');
     DeleteFile('C:\Documents and Settings\Admin\Шаблоны\6084-NendangBro.com');
     DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
     DeleteService('2712596drv');
     DeleteService('67804117');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('2712596drv');
     BC_DeleteSvc('67804117');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\2712596drv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\67804117.sys');
     BC_DeleteFile('2712596drv.sys');
    BC_Activate;
     ExecuteRepair(11);
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
    O1 - Hosts: <html lang='en'>
    O1 - Hosts: <head>
    O1 - Hosts: <meta name="description" content="Yahoo! GeoCities offers you a free web site and all the tools you need to build a dynamic site. Features include easy-to-use site building tools, online help, web site statistics, secure and reliable hosting, and an intuitive control panel.">
    O1 - Hosts: <title>Yahoo! GeoCities: Get a web site with easy-to-use site building tools.</title>
    O1 - Hosts: <link rel="stylesheet" type="text/css" media="all" href="http://l.yimg.com/a/combo?yui/2.5.2/build/reset-fonts-grids/reset-fonts-grids.css&smbiz/css/headfoot_6.css&smbiz/css/ysbs_glossary_1.css">
    O1 - Hosts: <link rel="stylesheet" type="text/css" media="all" href="http://us.i1.yimg.com/us.yimg.com/lib/smbiz/css/geocities_84954.css">
    O1 - Hosts: <style>
    O1 - Hosts: h1 { line-height:30px;height:30px; padding-left:15px; font-weight:bold;font-size:1.6em;color:#1f296a;}
    O1 - Hosts: .services li { margin-left:1.0em; padding-left:0.5em; background:url("http://l.yimg.com/a/lib/smbiz/i/geo_bullet_3x3_1.gif") no-repeat 0 0.5em; margin-bottom:0.5em;margin-left:1.5em;margin-right:0.5em;width:6em}
    O1 - Hosts: .services li {float:left; width:17em; font-size:116%;margin-top:0.8em}
    O1 - Hosts: .services { font-size:116%; padding-bottom:20px }
    O1 - Hosts: .learnmore a {color:#2882DE;font-size:16px}
    O1 - Hosts: .image_web {float:right; margin:15px 0 0 15px}
    O1 - Hosts: p {margin:20px;font-size:1em;}
    O1 - Hosts: h2 {margin:20px 0 0 20px;color:#1F296;font-weight:bold;font-size:1.25em;color:#1f296a;}
    O1 - Hosts: h3 {margin:20px;color:#1F296;font-weight:bold;font-size:1.15em;color:#1f296a;}
    O1 - Hosts: li.rule {border-top:solid 1px #DBE1E6;}
    O1 - Hosts: </style>
    O1 - Hosts: </head>
    O1 - Hosts: <body>
    O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
    O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
    O1 - Hosts: <div class="ez-mw" style ="height:900px;width:905px">
    O1 - Hosts: <div class="ez-wri ez-oh" style="width:900px">
    O1 - Hosts: <div class="ez-box">
    O1 - Hosts: <link type="text/css" rel="stylesheet" href="http://l.yimg.com/a/lib/uh/15/css/uh-1.0.28.css">
    O1 - Hosts: <style type="text/css">
    O1 - Hosts: div#headerblock div{font-family:arial;}
    O1 - Hosts: </style>
    O1 - Hosts: <div id="ygma"><div id="ygmaheader"><div class="bd sp"><div id="ymenu" class="ygmaclr"><div id="mepanel"><ul id="mepanel-nav"><li class="me1"><em>New User? <a class="ygmasignup" title="Sign Up" href="http://us.ard.yahoo.com/SIG=15u88cce2/M=650008.13654023.13693397.13153904/D=smallbiz/S=2023010636:HEAD/Y=YAHOO/EXP=1252098940/L=HzY9i9j8aIuVH8pzSp2qoCoWz37hF0qhZ1wABADc/B=RCQ9Atj8a20-/J=1252091740846210/K=88LB2KvJxEkW95HaZ4xf4Q/A=5836007/R=2/SIG=13j8rdsqp/*https://edit.yahoo.com/config/eval_register?.done=http://smallbusiness.yahoo.com%2findex.html&.src=smbiz&.intl=us">Sign Up</a></em></li><li class="me2"><a title="Sign In" href="http://us.ard.yahoo.com/SIG=15u88cce2/M=650008.13654023.13693397.13153904/D=smallbiz/S=2023010636:HEAD/Y=YAHOO/EXP=1252098940/L=HzY9i9j8aIuVH8pzSp2qoCoWz37hF0qhZ1wABADc/B=RCQ9Atj8a20-/J=1252091740846210/K=88LB2KvJxEkW95HaZ4xf4Q/A=5836007/R=3/SIG=13cm6p12o/*https://login.yahoo.com/config/login?.done=http://geocities.yahoo.com&.src=smbiz&.intl=us">Sign In</a></li>
    O1 - Hosts: <li class="me3"><a href="http://us.ard.yahoo.com/SIG=15uqalioe/M=650008.13654021.13693393.13153902/D=smallbiz/S=2023010636:HEAD/Y=YAHOO/EXP=1252098025/L=j.Ah_9j8aIuVH8pzSp2qoCg9z37hF0qhY8gACN48/B=zgw4Atj8a20-/J=1252090825225621/K=pmFpaSqI9UgVSmAu3nNNgw/A=5836006/R=7/SIG=11hjute28/*http://help.yahoo.com/l/us/yahoo/geocities/" target="_top" title="Yahoo! Help Central">Help</a></li>
    O1 - Hosts: </ul></div><div id="ygmapromo"><a style="font-weight:bold;" id="ygmaie8" href="http://us.ard.yahoo.com/SIG=15vud5jbf/M=650008.13445975.13532322.12832737/D=smallbiz/S=2023010636:HPRM2/Y=YAHOO/EXP=1252098025/L=j.Ah_9j8aIuVH8pzSp2qoCg9z37hF0qhY8gACN48/B=0Qw4Atj8a20-/J=1252090825225621/K=pmFpaSqI9UgVSmAu3nNNgw/A=5706923/R=0/SIG=117bakia1/*http://toolbar.yahoo.com/?.cpdl=ushdl" target="_top">Get Yahoo! Toolbar<abbr title="Yahoo! Toolbar"></abbr></a>
    O1 - Hosts: <script language=javascript>
    O1 - Hosts: if(window.yzq_d==null)window.yzq_d=new Object();
    O1 - Hosts: window.yzq_d['0Qw4Atj8a20-']='&U=13hn349r9%2fN%3d0Qw4Atj8a20-%2fC%3d650008.13445975.13532322.12832737%2fD%3dHPRM2%2fB%3d5706923%2fV%3d1';
    O1 - Hosts: </script>
    O1 - Hosts: <noscript><img width=1 height=1 alt="" src="http://us.bc.yahoo.com/b?P=j.Ah_9j8aIuVH8pzSp2qoCg9z37hF0qhY8gACN48&T=144j596l3%2fX%3d1252090825%2fE%3d2023010636%2fR%3dsmallbiz%2fK%3d5%2fV%3d2.1%2fW%3dH%2fY%3dYAHOO%2fF%3d1861688409%2fQ%3d-1%2fS%3d1%2fJ%3d8B68FCD8&U=13hn349r9%2fN%3d0Qw4Atj8a20-%2fC%3d650008.13445975.13532322.12832737%2fD%3dHPRM2%2fB%3d5706923%2fV%3d1"></noscript></div>
    O1 - Hosts: <div id="pa"><div id="pa-wrapper"><ul id="pa2-nav" class="sp"><li class="pa1 sp"><a class="sp" href="http://us.ard.yahoo.com/SIG=15uqalioe/M=650008.13654021.13693393.13153902/D=smallbiz/S=2023010636:HEAD/Y=YAHOO/EXP=1252098025/L=j.Ah_9j8aIuVH8pzSp2qoCg9z37hF0qhY8gACN48/B=zgw4Atj8a20-/J=1252090825225621/K=pmFpaSqI9UgVSmAu3nNNgw/A=5836006/R=8/SIG=10jmd0d5u/*http://yahoo.com/" title="Yahoo!" target="_top">Yahoo!</a></li><li class="pa2 sp"><a class="sp" href="http://us.ard.yahoo.com/SIG=15uqalioe/M=650008.13654021.13693393.13153902/D=smallbiz/S=2023010636:HEAD/Y=YAHOO/EXP=1252098025/L=j.Ah_9j8aIuVH8pzSp2qoCg9z37hF0qhY8gACN48/B=zgw4Atj8a20-/J=1252090825225621/K=pmFpaSqI9UgVSmAu3nNNgw/A=5836006/R=9/SIG=10n3m6b64/*http://mail.yahoo.com" title="Yahoo! Mail" target="_top">Mail</a></li></ul><div id="pa-left" class="sp"></div><ul id="pa-nav" class="sp"><li class="pa3 sp"><a class="sp" href="http://us.ard.yahoo.com/SIG=15uqalioe/M=650008.13654021.13693393.13153902/D=smallbiz/S=2023010636:HEAD/Y=YAHOO/EXP=1252
    O1 - Hosts: <script language=javascript>
    O1 - Hosts: if(window.yzq_d==null)window.yzq_d=new Object();
    O1 - Hosts: window.yzq_d['zgw4Atj8a20-']='&U=13gmetml2%2fN%3dzgw4Atj8a20-%2fC%3d650008.13654021.13693393.13153902%2fD%3dHEAD%2fB%3d5836006%2fV%3d1';
    O1 - Hosts: </script>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="ez-wr" style="width:898px;margin-top:1.5em">
    O1 - Hosts: <Div class="ez-l2a" id="wrapper">
    O1 - Hosts: <div class="ez-l2a-1 " style="width:898px">
    O1 - Hosts: <div class="ez-box">
    O1 - Hosts: <div class="ez-wr" >
    O1 - Hosts: <div class="ez-box" style="width:898px">
    O1 - Hosts: <h1>Sorry, the GeoCities web site you were trying to reach is no longer available.</h1>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="ez-wr">
    O1 - Hosts: <div class="ez-box" id="boxyahoourls">
    O1 - Hosts: <p> GeoCities has closed, but there's a lot more to explore on Yahoo!</p>
    O1 - Hosts: <h2>Visit one of these popular Yahoo! sites:</h2>
    O1 - Hosts: <ul class= "services">
    O1 - Hosts: <li><a href="http://mail.yahoo.com">Yahoo! Mail</a></li>
    O1 - Hosts: <li><a href="http://smallbusiness.yahoo.com/webhosting">Web Hosting</a></li>
    O1 - Hosts: <li><a href="http://news.yahoo.com">News</a></li>
    O1 - Hosts: <li><a href="http://games.yahoo.com">Games</a></li>
    O1 - Hosts: <li><a href="http://sports.yahoo.com/">Sports</a> </li>
    O1 - Hosts: <li><a href="http://movies.yahoo.com">Movies</a></li>
    O1 - Hosts: <li><a href="http://finance.yahoo.com">Finance</a></li>
    O1 - Hosts: <li><a href="http://maps.yahoo.com">Maps</a></li>
    O1 - Hosts: </ul>
    O1 - Hosts: </div>
    O1 - Hosts: <li class="rule"><!----></li>
    O1 - Hosts: <p>The GeoCities site you were looking for may have been preserved in the Internet Archive's Wayback Machine. To find out, <a href="http://www.archive.org/web/web.php" target="_blank">visit Archive.org</a> and enter the site's web address in the field provided.</p>
    O1 - Hosts: <li class="rule"><!----></li>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="ez-wr">
    O1 - Hosts: <div class="ez-box" style="text-align:center; margin-top:25px;">
    O1 - Hosts: <font size="-2" face="verdana">Copyright &copy; 2009 <a href="http://yahoo.com/">Yahoo!</a> Inc. All rights reserved.
    O1 - Hosts: <ul>
    O1 - Hosts: <li style="display:inline;"><a target="_top" href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a></li> -
    O1 - Hosts: <li style="display:inline;"><a target="_top" href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a></li> -
    O1 - Hosts: <li style="display:inline;"><a target="_top" href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a
    O1 - Hosts: ></li> -
    O1 - Hosts: <li style="display:inline;"><a target="_top" href="http://smallbusiness.yahoo.com/tos/tos.php">Terms of Service
    O1 - Hosts: </a></li> -
    O1 - Hosts: <li style="display:inline;"><a target="_top" href="http://help.yahoo.com/help/us/geo/">Help</a></li>
    O1 - Hosts: </ul>
    O1 - Hosts: </font>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </body>
    O1 - Hosts: </html>
    O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
    O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1278326121&f=us-w1" ALT=1 WIDTH=1 HEIGHT=1>
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
     
    Это Ваш интернет провайдер?

    Удалите в MBAM только следующие строки:

    Код (Text):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Worm.Brontok) -> Value: Tok-Cirrhatus -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
    c:\documents and settings\Admin\local settings\application data\bron.tok-16-1 (Worm.Brontok) -> No action taken.
    c:\documents and settings\Admin\local settings\application data\bron.tok-16-11 (Worm.Brontok) -> No action taken.
    c:\documents and settings\Admin\local settings\application data\bron.tok-16-12 (Worm.Brontok) -> No action taken.
    c:\documents and settings\networkservice\local settings\application data\bron.tok-16-1 (Worm.Brontok) -> No action taken.
    c:\RECYCLER\s-1-5-21-1606980848-879983540-1417001333-500\Dc1\avz_quarantine\2005-04-01\bcqr00011.dat (Trojan.Dropper) -> No action taken.
    c:\RECYCLER\s-1-5-21-1606980848-879983540-1417001333-500\Dc1\avz_quarantine\2005-04-01\bcqr00012.dat (Trojan.Dropper) -> No action taken.
    c:\RECYCLER\s-1-5-21-1606980848-879983540-1417001333-500\Dc1\avz_quarantine\2005-04-01\bcqr00020.dat (Trojan.Dropper) -> No action taken.
    c:\RECYCLER\s-1-5-21-1606980848-879983540-1417001333-500\Dc1\avz_quarantine\2005-04-01\bcqr00021.dat (Trojan.Dropper) -> No action taken.
    c:\RECYCLER\s-1-5-21-1606980848-879983540-1417001333-500\Dc1\avz_quarantine\2005-04-01\bcqr00022.dat (Trojan.Dropper) -> No action taken.
    c:\RECYCLER\s-1-5-21-1606980848-879983540-1417001333-500\Dc1\avz_quarantine\2005-04-01\bcqr00023.dat (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00001.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00002.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00003.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00004.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00005.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00006.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00007.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00008.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00009.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00010.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00011.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00012.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00013.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00014.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00015.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00016.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00017.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00018.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00019.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00020.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00021.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00022.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00023.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00024.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00028.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00029.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00030.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00031.dta (Trojan.Dropper) -> No action taken.
    d:\avz4\Infected\2011-08-12\avz00032.dta (Trojan.Patch) -> No action taken.
    d:\администрация\Законы.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\cyberlink\PowerDVD\PowerDVD.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\cyberlink\PowerDVD\bookmarks\bookmarks.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\DCIM\100CASIO\100CASIO.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - eb\e. replay - eb`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\a. profiles\a. profiles`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\b. manager - fifa07\b. manager - fifa07`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\c. tournament - fifa07\c. tournament - fifa07`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\d. my squads\d. my squads`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 1a\e. replay - 1a`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 2a\e. replay - 2a`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 3a\e. replay - 3a`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 4a\e. replay - 4a`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 500\e. replay - 500`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 555454\e. replay - 555454`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - 7477a\e. replay - 7477a`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - aa\e. replay - aa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - avtoa\e. replay - avtoa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - ebat1a\e. replay - ebat1a`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - ebata\e. replay - ebata`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - gigsa\e. replay - gigsa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - loha\e. replay - loha`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - nezabi\e. replay - nezabi`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - oshibk\e. replay - oshibk`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - oxa\e. replay - oxa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - pizdea\e. replay - pizdea`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - prizok\e. replay - prizok`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - rgga\e. replay - rgga`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - runaa\e. replay - runaa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - talknu\e. replay - talknu`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - vfa\e. replay - vfa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - voroni\e. replay - voroni`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - xxa\e. replay - xxa`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\e. replay - zaebis\e. replay - zaebis`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\g. custom team - man_ut\g. custom team - man_ut`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\g. custom team - r_mad_\g. custom team - r_mad_`.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\FIFA 07\user\user.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\gta vice city user files\gta vice city user files.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\SCi\SCi.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\SCi\conflictvietnam\conflictvietnam.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Ubisoft\Beowulf\Beowulf.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\winamp.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\eMusic\eMusic.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\Plugins.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\avs\avs.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\avs\community picks\community picks.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\avs\winamp 5 picks\winamp 5 picks.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\DSP_SPS\DSP_SPS.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\wacs\jpgload\jpgload.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\xml.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\about\about.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\checkbox\checkbox.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\combobox\combobox.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\dropdownlist\dropdownlist.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\historyeditbox\historyeditbox.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\menubutton\menubutton.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\msgbox\msgbox.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\pathpicker\pathpicker.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\popupmenu\popupmenu.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\statusbar\statusbar.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\tabsheet\tabsheet.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\titlebox\titlebox.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\tooltips\tooltips.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\wasabi.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\fonts\fonts.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\garbage\garbage.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\menu\menu.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\Scripts\Scripts.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\window\window.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xml.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\groups\groups.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\xui.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\button\button.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\editbox\editbox.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\slider\slider.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\standardframe\standardframe.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\text\text.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\freeform\xml\wasabi\xml\xui\titlebar\titlebar.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\Milkdrop\Milkdrop.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\ml\ml.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\predixis musicmagic\predixis musicmagic.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Plugins\predixis musicmagic\images\images.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\Skins.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\winamp modern.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\about\about.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\notifier\notifier.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\player\player.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\scripts\scripts.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\shade\shade.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\standardframe\standardframe.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\titlebar\titlebar.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\window\window.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\Skins\winamp modern\xml\xml.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\Winamp\System\System.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои видеозаписи\мои видеозаписи.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\Загрузки\Загрузки.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\мои видеозаписи\мои видеозаписи.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\мои рисунки\мои рисунки.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\мои рисунки\личные фото\личные фото.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\мои рисунки\ФОТО\ФОТО.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\мои рисунки\фото сочи\фото сочи.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои документы\моя музыка\моя музыка.exe (Trojan.Dropper) -> No action taken.
    d:\мои документы\мои рисунки\Mixxx\Mixxx.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\Games\дурак\Voices\Voices.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\калькулятор\калькулятор.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\образ папок\образ папок.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\Объём\Объём.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\подводный мир\подводный мир.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\Пятнашки\Пятнашки.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\расписание\расписание.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\создание двухоконного приложения\создание двухоконного приложения.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\Тест\Тест.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\фотошоп\фотошоп.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Vitёк\часы\часы.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\анимация\анимация.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\бегущая строка\бегущая строка.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\выбир фамилию\выбир фамилию.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\вывод сист и даты\вывод сист и даты.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\вывод сооб\вывод сооб.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\геометрия\геометрия.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\запомни\запомни.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\месяц\месяц.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\многократ привет\многократ привет.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\нестандартные кнопки\нестандартные кнопки.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\новая папка.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\PSXeven.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\bios\bios.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\logo\logo.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\logs\logs.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\memcards\memcards.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\plugins\plugins.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\snap\snap.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\новая папка\Sony\PSXeven\states\states.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\обзор папки\обзор папки.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\обзор папокб\обзор папокб.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\одводный мир\одводный мир.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\оживление кнопки\оживление кнопки.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\перекл с зависимой фиксацией\перекл с зависимой фиксацией.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\перемещение объекта с клавы\перемещение объекта с клавы.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\персональный компьютер\персональный компьютер.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\проэкты\оживление кнопки\оживление кнопки.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\проэкты\перекл с зависимой фиксацией\перекл с зависимой фиксацией.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\проэкты\переключатель\переключатель.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\проэкты\перемещение объекта с клавы\перемещение объекта с клавы.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\проэкты\персональный компьютер\персональный компьютер.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\проэкты\пк\пк.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\расписание\расписание.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\рожа\рожа.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\светофор\светофор.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\сетка\сетка.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\созданные мной\созданные мной.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\степень\степень.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\цвета\цвета.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\часы\часы.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\шаров\калич\калич.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\Balda\DATA\DATA.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\Balda\Sounds\Sounds.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\Balda\Textures\Textures.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\Balda\Textures\agrish skin\agrish skin.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\Balda\Textures\example skin\example skin.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\кристал\music\music.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\питбол\питбол.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\питбол\Boards\Boards.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\питбол\Fonts\Fonts.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\питбол\Gfx\Gfx.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\питбол\Mods\Mods.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\питбол\Scores\Scores.exe (Trojan.Dropper) -> No action taken.
    d:\проэкты\Buhera\игры 1\Игры\танки\sfx\sfx.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
    Повторите логи AVZ и RSIT
     
  3. aliwas
    Оффлайн

    aliwas Активный пользователь

    Сообщения:
    108
    Симпатии:
    1
    Да
    Карантин отправлен через форму.
     

    Вложения:

    • log.txt
      Размер файла:
      9,3 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      15,8 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      16,2 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      13,6 КБ
      Просмотров:
      2
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Вставьте в CD/DVD привод диск с дистрибутивом Вашей системы: WindowsXP, Service Pack 3

    Закройте все программы, выполните скрипт в AVZ:

    Код (Text):
    Procedure SysFileRecoverFromDistrib (Path, Name : string);
    begin
     if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
      begin  
        ExecuteFile('sfc /scannow', '', 1, 0, true);
        AddToLog('Пользователь выполнил "sfc /scannow"');
      end
     else
        AddToLog('Пользователь выбрал самостоятельный способ замены.');
    end;

    Procedure CompleteFix(Path, Name : string);
    begin
       RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
       CopyFile(Path + Name, '%windir%\system32\' + Name);
       DeleteFile('%windir%\system32\' + Name + '.bak');
    end;

    Procedure SysFileRecoverFromBackup(Path, Name : string);
    begin
      AddToLog('Файл ' + '%windir%\system32\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\' + Name));
      if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
       begin
         AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - MD5 у файлов различные. Запрошен дистрибутив.');
         AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
         AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
         SysFileRecoverFromDistrib(Path, Name);
       end
      else if FileExists('%windir%\system32\dllcache\' + Name) then
       begin
        AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
        if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
          begin
            CompleteFix('%windir%\system32\dllcache\', Name);
            AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
          end
        else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
         begin
           AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
           if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
            begin
              CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
              AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
            end
         end
       end;
     if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then
      begin
        AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
        SysFileRecoverFromDistrib(Path, Name);
      end;
     SaveLog('SafeZone.log');
    end;

    var SourcePath : String;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearLog;
     QuarantineFile('%windir%\system32\drivers\sfc.sys','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('sfc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится, по итогам работы сформируется лог SafeZone.log. Прикрепите его к следующему сообщению.

    У Вас не установлено никакого антивируса?

    Типичное заражение сетевым червем, необходимо установить обновления windows или с помощью WSUS Offline Update

    С помощью MBAM все, что Вам было указано удалили? Сделайте еще раз лог MBAM.
     
  5. aliwas
    Оффлайн

    aliwas Активный пользователь

    Сообщения:
    108
    Симпатии:
    1
    Лог
     

    Вложения:

  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Вот это удалите:

    Код (Text):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Value: NoFolderOptions -> No action taken.
    Как там насчет антивируса: установлен или нет?

    Предыдущий скрипт выполнили?

    После выполнения скрипта, установки обновлений windows, антивируса, сделайте повторные логи AVZ и RSIT и будем заканчивать :)
     
  7. aliwas
    Оффлайн

    aliwas Активный пользователь

    Сообщения:
    108
    Симпатии:
    1
    Удалил
    Скрипт запустил, но он не скопировал с диска sfcfiles.dll. Пришлось со своего перекинуть.
    Нет. Компьютер моего знакомого, антивирус появится после их встречи, завтра.
    Обновления сделал. Если не секрет, как узнали что нужны обновления?
     

    Вложения:

  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Заражения сетевыми червями происходят через незакрытые уязвимости

    Добавлено через 6 минут 33 секунды
    В логах чисто, как самочувствие системы?
    передайте своему другу следующую информацию:

    Внимание смените все Важные пароли: ICQ, контакт итд

    Необходимо очистить ранее созданную точку восстановления и создать новую:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


    Для предотвращения заражения рекомендуется:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

    Обновите до последних версий:

    Желаю больше не болеть!..
     
    1 человеку нравится это.
  9. aliwas
    Оффлайн

    aliwas Активный пользователь

    Сообщения:
    108
    Симпатии:
    1
    Т.е. это догадка, основанная на опыте а не информация из протоколов?
     
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    В протоколе Мы видим сетевого червя, зная основные способы их распространения (почта, флешки и уязвимости в системе), я Вам дал эту рекомендацию.

    Вот описание Вашего зловреда.
     
    2 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей