Iraida 0 Опубликовано 21 февраля, 2009 Share Опубликовано 21 февраля, 2009 В моём компьютере поселился троян HEUR:Trojan.Script.lframer. Я выполнила все шаги, указанные по данной ссылке: http://forum.kasperskyclub.ru/index.php?showtopic=1698. Теперь ваша очередь. virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 21 февраля, 2009 Share Опубликовано 21 февраля, 2009 Когда базы антивируса в последний раз обновлялись? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Secdrv', 4); QuarantineFile('C:\WINDOWS\Temp\78.tmp',''); QuarantineFile('c:\windows\system32\oembios.exe',''); QuarantineFile('c:\windows\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe'); DeleteFile('c:\windows\system32\ntos.exe'); DeleteFile('c:\windows\system32\oembios.exe'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll'); DeleteFile('C:\WINDOWS\Temp\78.tmp'); DelBHO('{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}'); DelBHO('{BA52B914-B692-46c4-B683-905236F6F655}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteService('Secdrv'); BC_ImportALL; ExecuteRepair(16); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\window s\system32\oembios.exe,C:\WINDOWS\system32\twex.exe, Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 21 февраля, 2009 Автор Share Опубликовано 21 февраля, 2009 посылаю вам результаты сканирования , выполненные исходя из рекомендация по ссылке;)//forum.kasperskyclub.ru/index.php?showtopic=1698 virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Iraida, а вы рекомендации предложенные akoK выполняли? И вы зачем одни и те-же логи снова выложили. Нужно сделать новые. точно так же как вы делали в первый раз. Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Что конкретно не понятно? Кодbegin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Это тоже надо выполнить в АВЗ AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Пофиксить в HijackThis следующие строчки Это есть Как выполнить скрипт в AVZ и "пофиксить" в HijackThis? Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите. "AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". - Это я выполнила. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Оба скрипта? письмо отправили? Дальше фиксите в HJT, если какой-то из строк не окажется, тогда не ищите её. После этого сделайте логи как делали первый раз перед тем как вылаживать на форуме. Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Спасибо, сейчас попробую. Пофиксить не получается, не могу найти эти строки в программе, их там нет? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Нет - ничего страшного. Делайте логи АВЗ и HJT заново как написано в теме http://forum.kasperskyclub.ru/index.php?showtopic=1698 нам нужно посмотреть, что удалилось, а что проявилось. Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Я сделала, мне ответили, что: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. выполнен без ошибок. Подскажите, что отправить в письме. После сканирования у меня появилась папка карантин, я должна её заархивировать и отправить? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 После скрипта появится файл quarantine.zip в папке с AVZ вот его и нужно выслать. Пароль на архи virus ставит АВЗ сама при выполнении срипта. Пароль нужно только указать в письме, что бы аналитики могли распаковать архив. Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Результаты сканирования hijackthis.log virusinfo_syscheck.htm virusinfo_syscure.htm Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Теперь в логах активного заражения не наблюдается. Можете поставить компьютер на полную проверку антивирусом, пусть поищет, может ещё како-то мусор найдётся. Цитата Ссылка на сообщение Поделиться на другие сайты
Iraida 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Спасибо! Полная проверка показала, что всё чисто. Скажите, это означает, что на компьютере больше нет вируса? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.