Iraida Опубликовано 21 февраля, 2009 Опубликовано 21 февраля, 2009 В моём компьютере поселился троян HEUR:Trojan.Script.lframer. Я выполнила все шаги, указанные по данной ссылке: http://forum.kasperskyclub.ru/index.php?showtopic=1698. Теперь ваша очередь. virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log
akoK Опубликовано 21 февраля, 2009 Опубликовано 21 февраля, 2009 Когда базы антивируса в последний раз обновлялись? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Secdrv', 4); QuarantineFile('C:\WINDOWS\Temp\78.tmp',''); QuarantineFile('c:\windows\system32\oembios.exe',''); QuarantineFile('c:\windows\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe'); DeleteFile('c:\windows\system32\ntos.exe'); DeleteFile('c:\windows\system32\oembios.exe'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll'); DeleteFile('C:\WINDOWS\Temp\78.tmp'); DelBHO('{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}'); DelBHO('{BA52B914-B692-46c4-B683-905236F6F655}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteService('Secdrv'); BC_ImportALL; ExecuteRepair(16); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\window s\system32\oembios.exe,C:\WINDOWS\system32\twex.exe, Повторите логи.
Iraida Опубликовано 21 февраля, 2009 Автор Опубликовано 21 февраля, 2009 посылаю вам результаты сканирования , выполненные исходя из рекомендация по ссылке;)//forum.kasperskyclub.ru/index.php?showtopic=1698 virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log
ТроПа Опубликовано 22 февраля, 2009 Опубликовано 22 февраля, 2009 Iraida, а вы рекомендации предложенные akoK выполняли? И вы зачем одни и те-же логи снова выложили. Нужно сделать новые. точно так же как вы делали в первый раз.
Iraida Опубликовано 22 февраля, 2009 Автор Опубликовано 22 февраля, 2009 Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите.
ТроПа Опубликовано 22 февраля, 2009 Опубликовано 22 февраля, 2009 Что конкретно не понятно? Кодbegin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Это тоже надо выполнить в АВЗ AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Пофиксить в HijackThis следующие строчки Это есть Как выполнить скрипт в AVZ и "пофиксить" в HijackThis?
Iraida Опубликовано 22 февраля, 2009 Автор Опубликовано 22 февраля, 2009 Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите. "AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". - Это я выполнила.
ТроПа Опубликовано 22 февраля, 2009 Опубликовано 22 февраля, 2009 Оба скрипта? письмо отправили? Дальше фиксите в HJT, если какой-то из строк не окажется, тогда не ищите её. После этого сделайте логи как делали первый раз перед тем как вылаживать на форуме.
Iraida Опубликовано 22 февраля, 2009 Автор Опубликовано 22 февраля, 2009 Спасибо, сейчас попробую. Пофиксить не получается, не могу найти эти строки в программе, их там нет?
ТроПа Опубликовано 22 февраля, 2009 Опубликовано 22 февраля, 2009 Нет - ничего страшного. Делайте логи АВЗ и HJT заново как написано в теме http://forum.kasperskyclub.ru/index.php?showtopic=1698 нам нужно посмотреть, что удалилось, а что проявилось.
Iraida Опубликовано 22 февраля, 2009 Автор Опубликовано 22 февраля, 2009 Я сделала, мне ответили, что: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. выполнен без ошибок. Подскажите, что отправить в письме. После сканирования у меня появилась папка карантин, я должна её заархивировать и отправить?
ТроПа Опубликовано 22 февраля, 2009 Опубликовано 22 февраля, 2009 После скрипта появится файл quarantine.zip в папке с AVZ вот его и нужно выслать. Пароль на архи virus ставит АВЗ сама при выполнении срипта. Пароль нужно только указать в письме, что бы аналитики могли распаковать архив.
Iraida Опубликовано 22 февраля, 2009 Автор Опубликовано 22 февраля, 2009 Результаты сканирования hijackthis.log virusinfo_syscheck.htm virusinfo_syscure.htm
ТроПа Опубликовано 22 февраля, 2009 Опубликовано 22 февраля, 2009 Теперь в логах активного заражения не наблюдается. Можете поставить компьютер на полную проверку антивирусом, пусть поищет, может ещё како-то мусор найдётся.
Iraida Опубликовано 22 февраля, 2009 Автор Опубликовано 22 февраля, 2009 Спасибо! Полная проверка показала, что всё чисто. Скажите, это означает, что на компьютере больше нет вируса?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти