mersovod Опубликовано 30 января, 2011 Опубликовано 30 января, 2011 Обнаружил проблемы со скоростью работы и сетевыми соединениями. Нашёл постоянно прописываемый сценарий в автозагрузке. Оказалось это nissan.exe. После выполнения скрипта begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\localservice\application data\svcst.exe'); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\_scui.cpl',''); QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\bd549199.sys',''); QuarantineFile('c:\documents and settings\localservice\application data\svcst.exe',''); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\documents and settings\localservice\application data\seres.exe'); DeleteFile('c:\documents and settings\localservice\application data\svcst.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); DeleteFile('C:\WINDOWS\system32\_scui.cpl'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. Вроде бы исчез. Суть вопроса. Может кто сталкивался , где ещё почистить и как глобально защитить комп от заразы переносимой на флешках.
Mark D. Pearlstone Опубликовано 30 января, 2011 Опубликовано 30 января, 2011 Правила раздела выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698
Roman_Five Опубликовано 30 января, 2011 Опубликовано 30 января, 2011 где ещё почистить были бы логи - был бы и совет.
mersovod Опубликовано 1 февраля, 2011 Автор Опубликовано 1 февраля, 2011 Вот логи. virusinfo_syscheck.zip hijackthis.log
Roman_Five Опубликовано 1 февраля, 2011 Опубликовано 1 февраля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\program files\ewa net\database\transbase wis\tbmux32.exe'); TerminateProcessByName('c:\program files\ewa net\database\transbase ewa\tbmux32.exe'); TerminateProcessByName('c:\program files\ewa net\database\transbase epc\tbmux32.exe'); StopService('EWA net DB WIS'); StopService('EWA net DB EPC'); StopService('EWA net DB Core'); StopService('adatadrv'); StopService('NSHE'); StopService('NetworkX'); QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys',''); QuarantineFile('C:\Windows\system32\Drivers\NSHE.SYS',''); QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys',''); QuarantineFile('C:\Windows\SYSTEM32\DRIVERS\IWPORT.SYS',''); QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys',''); QuarantineFile('C:\Windows\system32\ckldrv.sys',''); QuarantineFile('C:\Program Files\DrWeb\frwl_svc.exe',''); QuarantineFile('C:\Program Files\EWA net\database\TransBase EPC\tbmux32.exe',''); QuarantineFile('C:\Program Files\EWA net\database\TransBase EWA\tbmux32.exe',''); QuarantineFile('C:\Program Files\EWA net\database\TransBase WIS\tbmux32.exe',''); QuarantineFile('C:\Program Files\Launch\X431 Series UPDATE\X431Update.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup-\Reboot.exe',''); QuarantineFile('C:\Users\C4C5~1\AppData\Local\Temp\Torrent2Exe\T2E.exe',''); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Рекомендуется удалить ПО, которое может конфликтовать с установленным Kaspersky Internet Security: - DrWeb. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows Vista - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению.
mike 1 Опубликовано 2 февраля, 2011 Опубликовано 2 февраля, 2011 Вот отчёт А где отчет MBAM полного сканирования?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти