gensek 2 Опубликовано 15 марта, 2008 Share Опубликовано 15 марта, 2008 Привет всем! На днях через Каспер сиравно какая-то бяка залезла и отрубила «Диспетчер задач», а еще столько ПОЛЬЗОВАТЕЛЕЙ повылазило !!! Диспетчер я включил, но инету все время кто-то мешает, трафик не ест, но он тормозить стал и при отключении просит подключения. Ссылался, я, на Троян, 2 раза обновлял антивирь, проверял, а он видит опасным тока файлы вбитые при постановке Виндоса. Но я то чую, чето тут не то! ! Или все ОК’ ? Предложу несколько скринов, гляньте если не трудно. 0.rar 1.rar 2.rar 3.rar 4.rar Цитата Ссылка на сообщение Поделиться на другие сайты
JIABP 222 Опубликовано 15 марта, 2008 Share Опубликовано 15 марта, 2008 Здраствуйте! Сначала выполните правила. Посмотреть их можно здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
gensek 2 Опубликовано 15 марта, 2008 Автор Share Опубликовано 15 марта, 2008 Здраствуйте! Сначала выполните правила. Посмотреть их можно здесь. hijackthis.rar sysinfo.rar virusinfo_syscure.rar virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 15 марта, 2008 Share Опубликовано 15 марта, 2008 Выполнить скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\users32.dat',''); QuarantineFile('C:\WINDOWS\Installer\{c0d03470-c5f8-4c34-86b9-413164a4f759}\BootRam.dll',''); QuarantineFile('C:\WINDOWS\altvxvm.dll',''); DeleteFile('C:\WINDOWS\altvxvm.dll'); DeleteFile('C:\WINDOWS\system32\users32.dat'); DeleteFile('C:\WINDOWS\Installer\{c0d03470-c5f8-4c34-86b9-413164a4f759}\BootRam.dll'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end. Пофиксить в HijackThis следующие строчки O21 - SSODL: bokpkov - {2204BA67-5A0C-4D2D-8AAD-D4031735C817} - (no file) Потом еще один begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Карантин отправить на akok<at>virusinfo.info Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
gensek 2 Опубликовано 16 марта, 2008 Автор Share Опубликовано 16 марта, 2008 (изменено) Выполнить скрипт begin [u]SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\users32.dat',''); QuarantineFile('C:\WINDOWS\Installer\{c0d03470-c5f8-4c34-86b9-413164a4f759}\BootRam.dll',''); QuarantineFile('C:\WINDOWS\altvxvm.dll',''); DeleteFile('C:\WINDOWS\altvxvm.dll'); DeleteFile('C:\WINDOWS\system32\users32.dat'); DeleteFile('C:\WINDOWS\Installer\{c0d03470-c5f8-4c34-86b9-413164a4f759}\BootRam.dll'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; ExecuteSysClean; RebootWindows(true); end[/u]. Потом еще один begin [u]CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end[/u]. Карантин отправить на akok<at>virusinfo.info Повторите логи. Чем выполнить? я не сталкивался с этим Изменено 16 марта, 2008 пользователем gensek Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 258 Опубликовано 16 марта, 2008 Share Опубликовано 16 марта, 2008 в авз http://virusinfo.info/showthread.php?t=7239 Цитата Ссылка на сообщение Поделиться на другие сайты
gensek 2 Опубликовано 17 марта, 2008 Автор Share Опубликовано 17 марта, 2008 Выполнить скрипт Повторите логи. Всем привет! Не знаю чем заканчивается вся ЭТА канитель, но я уже доволен! Хотябы тем что запроса на соединение с инетом НЕТ и сам инет тормозить перестал Спасибо! Ну а логи конечно тут: hijackthis.rar sysinfo.rar virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
ojiga 8 Опубликовано 17 марта, 2008 Share Опубликовано 17 марта, 2008 жгёте =)) чувак собрал логи и уже система заработала лучше =) P.S. ('C:\WINDOWS\system32\users32.dat',''); -- а вот это зачем? это вы типа бинарник реестра у него запрашиваете и потом пошлёте на newvirus@kaspersky.com? а вот это зачем? Цитата Ссылка на сообщение Поделиться на другие сайты
Vist@ 0 Опубликовано 17 марта, 2008 Share Опубликовано 17 марта, 2008 (изменено) Господин, oliqa, не понятно, что Вас так удивляет. перед тем как gensek повторно собрал логи, систему пролечили. С чего Вы взяли, что C:\WINDOWS\system32\users32.dat - это бинарник реестра, это - not-a-virus:AdWare.Win32.Agent.zo. Так а Вдруг новая разновидность? Или новые в базы не стоит добавлять? gensek - как система? Изменено 17 марта, 2008 пользователем Vist@ Цитата Ссылка на сообщение Поделиться на другие сайты
gensek 2 Опубликовано 17 марта, 2008 Автор Share Опубликовано 17 марта, 2008 жгёте =))чувак собрал логи и уже система заработала лучше =) P.S. ('C:\WINDOWS\system32\users32.dat',''); -- а вот это зачем? это вы типа бинарник реестра у него запрашиваете и потом пошлёте на newvirus@kaspersky.com? а вот это зачем? Не вижу для себя понятных слов! Что это вообще за users32.dat, с чем ее едят и кто такой бинарник? Господин, oliqa, не понятно, что Вас так удивляет. перед тем как gensek повторно собрал логи, систему пролечили. С чего Вы взяли, что C:\WINDOWS\system32\users32.dat - это бинарник реестра, это - not-a-virus:AdWare.Win32.Agent.zo. gensek - как система? Система вроде пашет! Цитата Ссылка на сообщение Поделиться на другие сайты
Vist@ 0 Опубликовано 17 марта, 2008 Share Опубликовано 17 марта, 2008 В логах врагов не видать. Цитата Ссылка на сообщение Поделиться на другие сайты
ojiga 8 Опубликовано 18 марта, 2008 Share Опубликовано 18 марта, 2008 ЧВ одобряет это Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 18 марта, 2008 Share Опубликовано 18 марта, 2008 (изменено) C:\WINDOWS\system32\users32.dat - Trojan.Win32.Zapchast.fo C:\WINDOWS\Installer\{c0d03470-c5f8-4c34-86b9-413164a4f759}\BootRam.dll - Trojan-Dropper.Win32.Agent.giq C:\WINDOWS\altvxvm.dll - not-a-virus:AdWare.Win32.Vapsup.cql Изменено 18 марта, 2008 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
Vist@ 0 Опубликовано 18 марта, 2008 Share Опубликовано 18 марта, 2008 ЧВ одобряет это Как-то не понял, что Вы хотели этим сказать, нельзя ли пояснить. Буду благодарен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.