AlenaPiter 0 Опубликовано 15 октября, 2011 Share Опубликовано 15 октября, 2011 (изменено) Здравствуйте, программа avz нашла 47 перехватчиков функций Windows Пишет: "функция воссстановлена, код руткита нейтрализован" Этого достаточно или нужно переустанавливать систему ? Посмотрите, пожалуйста, логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 15 октября, 2011 пользователем AlenaPiter Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 октября, 2011 Share Опубликовано 16 октября, 2011 На перехваты внимания не обращайте Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\lena\locals~1\temp\0.008427884569403354.exe'); QuarantineFile('c:\docume~1\lena\locals~1\temp\0.008427884569403354.exe',''); DeleteFile('c:\docume~1\lena\locals~1\temp\0.008427884569403354.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Обновите базы AVZ Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
AlenaPiter 0 Опубликовано 16 октября, 2011 Автор Share Опубликовано 16 октября, 2011 Спасибо Вам за открытость, оперативность и профессионализм скрипты выполнила, обновила базу AVZ Номер запроса [KLAN-172277915] "Системе приёма писем не удалось распаковать этот архив в автоматическом режиме. Архив будет передан на распаковку вирусному аналитику." архив был без пароля Посмотрите, пожалуйста, новые логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 октября, 2011 Share Опубликовано 16 октября, 2011 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\microsoft shared\udhript.mon',''); DeleteFile('C:\Program Files\Common Files\microsoft shared\udhript.mon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
AlenaPiter 0 Опубликовано 16 октября, 2011 Автор Share Опубликовано 16 октября, 2011 новые логи mbam_log_2011_10_16__22_00_35_.txt virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 октября, 2011 Share Опубликовано 16 октября, 2011 AlenaPiter, проверьте на virustotal.com файлы c:\WINDOWS\notepad.exe e:\programs\adobe_photoshop_cs3_lite\adobe photoshop cs3 lite\PS\Shfolder.dll i:\arhiv\Install\o-odefrag11-1\Keygen\keygen.exe i:\recovered\$$$folder00124\install\adobe_photoshop_cs3_lite\adobe photoshop cs3 lite\PS\Shfolder.dll 4 ссылки на результаты проверки приложите Pivim Multibar используете? если нет - деинсталлируйте. Пофиксите в HijackThis: R3 - URLSearchHook: (no name) - - (no file) После проведённого лечения рекомендуется: - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Цитата Ссылка на сообщение Поделиться на другие сайты
AlenaPiter 0 Опубликовано 17 октября, 2011 Автор Share Опубликовано 17 октября, 2011 новые логи логи_тотал_командер.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 октября, 2011 Share Опубликовано 17 октября, 2011 AlenaPiter, заархивируйте файл c:\WINDOWS\notepad.exe с паролм virus и отправьте аналогично карнтину. когда будет ответ - отпишитесь. деинсталлируйте MBAM. если выполнили все мои рекомендации в прошлом сообщении - то всё. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.