mersovod Опубликовано 30 января, 2011 Share Опубликовано 30 января, 2011 Обнаружил проблемы со скоростью работы и сетевыми соединениями. Нашёл постоянно прописываемый сценарий в автозагрузке. Оказалось это nissan.exe. После выполнения скрипта begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\localservice\application data\svcst.exe'); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\_scui.cpl',''); QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\bd549199.sys',''); QuarantineFile('c:\documents and settings\localservice\application data\svcst.exe',''); QuarantineFile('c:\documents and settings\localservice\application data\seres.exe',''); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\documents and settings\localservice\application data\seres.exe'); DeleteFile('c:\documents and settings\localservice\application data\svcst.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-3755532737-1893880635-139822180-6610\nissan.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe'); RegKeyParamDel('HKEY_USERS','.default\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); RegKeyParamDel('HKEY_USERS','s-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger'); DeleteFile('C:\WINDOWS\system32\_scui.cpl'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. Вроде бы исчез. Суть вопроса. Может кто сталкивался , где ещё почистить и как глобально защитить комп от заразы переносимой на флешках. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 30 января, 2011 Share Опубликовано 30 января, 2011 Правила раздела выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 30 января, 2011 Share Опубликовано 30 января, 2011 где ещё почистить были бы логи - был бы и совет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mersovod Опубликовано 1 февраля, 2011 Автор Share Опубликовано 1 февраля, 2011 Вот логи. virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 1 февраля, 2011 Share Опубликовано 1 февраля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\program files\ewa net\database\transbase wis\tbmux32.exe'); TerminateProcessByName('c:\program files\ewa net\database\transbase ewa\tbmux32.exe'); TerminateProcessByName('c:\program files\ewa net\database\transbase epc\tbmux32.exe'); StopService('EWA net DB WIS'); StopService('EWA net DB EPC'); StopService('EWA net DB Core'); StopService('adatadrv'); StopService('NSHE'); StopService('NetworkX'); QuarantineFile('C:\Windows\system32\DRIVERS\adatadrv.sys',''); QuarantineFile('C:\Windows\system32\Drivers\NSHE.SYS',''); QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys',''); QuarantineFile('C:\Windows\SYSTEM32\DRIVERS\IWPORT.SYS',''); QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys',''); QuarantineFile('C:\Windows\system32\ckldrv.sys',''); QuarantineFile('C:\Program Files\DrWeb\frwl_svc.exe',''); QuarantineFile('C:\Program Files\EWA net\database\TransBase EPC\tbmux32.exe',''); QuarantineFile('C:\Program Files\EWA net\database\TransBase EWA\tbmux32.exe',''); QuarantineFile('C:\Program Files\EWA net\database\TransBase WIS\tbmux32.exe',''); QuarantineFile('C:\Program Files\Launch\X431 Series UPDATE\X431Update.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup-\Reboot.exe',''); QuarantineFile('C:\Users\C4C5~1\AppData\Local\Temp\Torrent2Exe\T2E.exe',''); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Рекомендуется удалить ПО, которое может конфликтовать с установленным Kaspersky Internet Security: - DrWeb. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows Vista - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mersovod Опубликовано 2 февраля, 2011 Автор Share Опубликовано 2 февраля, 2011 Вот отчёт Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 2 февраля, 2011 Share Опубликовано 2 февраля, 2011 Вот отчёт А где отчет MBAM полного сканирования? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти