15.03.2010, 21:14 | #1 (ссылка) |
Новичок
Регистрация: 26.01.2010
Сообщений: 18
Репутация: 0
|
Посмотрите, пожалуйста, логи после вируса
Стоит KIS. Позавчера все-же просочился вирус: в IE появилось неподвижное окно - пустое, без картинок, с заголовком что-то типа pc2. При попытке закрыть оно к сожалению открылось и выплыл порно-баннер - поверх всех окон. Однако дисп задач запустился, баннер я принудительно сняла, после чего запустила быструю проверку - Касп-й нашел и удалил вирус. Однако есть сомнения. прошу посмотреть логи.
http://slil.ru/28799611 |
16.03.2010, 19:45 | #4 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Выполните скрипт в AVZ и ОБЯЗАТЕЛЬНО ОТКЛЮЧИТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ!!:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\System Volume Information\_restore{671CBD97-24C5-46A9-A5E9-94D219BD0DCB}\RP178\A0075471.EXE/{EXE-Joiner}/.exe/{RAR-SFX}/EXAMPLE1\EX1.EXE/{RAR-SFX}/3DFRAMES\3DFRAMES.ZIP/{ZIP}/3DFRAMES.EXE '); DeleteFile('C:\System Volume Information\_restore{671CBD97-24C5-46A9-A5E9-94D219BD0DCB}\RP178\A0075471.EXE/{EXE-Joiner}/.exe/{RAR-SFX}/EXAMPLE1\EX1.EXE/{RAR-SFX}/WINENUM\ENUM.ZIP/{ZIP}/WINENUM.EXE'); DeleteFile('C:\System Volume Information\_restore{671CBD97-24C5-46A9-A5E9-94D219BD0DCB}\RP178\A0075471.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ---------- Добавлено в 18:45 ---------- Предыдущее сообщение было написано в 18:37 ---------- И у вас видно два антивируса.Оставит надо ТЛЬКО один. |
17.03.2010, 20:08 | #6 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
http://forum.kaspersky.com/index.php?showtopic=126932
Почитайте 5 сообщение и удалите ненужные антивирусы.У вас еще следы доктора веба есть C:\Program Files\2gis\UpdateClientWin32\UpdateClientUI.exe C:\WINDOWS\System32\PrintFilterPipelineSvc.exe Проверьте эти файлы на www.virustotal.com и дадите ссылку на результаты. На всякий слуцчай можно сделать следующее: 1. Скачайте установочный файл mbam-setup.exe , скачивающая ссылка находится на странице http://www.malwarebytes.org/mbam-download.php 2. Установите ее по стандартному пути с настройками по умолчанию. 3. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний). 4. По окончании сканирования будет сгенерирован лог. 5. Прикрепите его без переименования к Вашему следующему сообщению. Последний раз редактировалось help?; 17.03.2010 в 20:15. |
19.03.2010, 18:37 | #7 (ссылка) |
Новичок
Регистрация: 26.01.2010
Сообщений: 18
Репутация: 0
|
Файлы
C:\Program Files\2gis\UpdateClientWin32\UpdateClientUI.exe C:\WINDOWS\System32\PrintFilterPipelineSvc.exe проверить не удалось по причине их отсутствия. Куда они делись - м.б. Каспер побил? Не знаю... Удалить ненужные антивирусы по указанной ссылке тоже не удалось, т.к. утилита отказалась скачиваться, а ключей реестра, указанных в инструкции у меня вообще нет. Проверку по Malwarebytes' Anti-Malware сделала - вот лог: http://exfile.ru/90257 Извините что долго. |
19.03.2010, 19:06 | #8 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Пишу скрипт,пожалуйста,подождите.
---------- Добавлено в 18:06 ---------- Предыдущее сообщение было написано в 17:57 ---------- Выполните скрипт в AVZ: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\1\Application Data\FieryAds\FieryAdsUninstall.exe'); DeleteFile('C:\System Volume Information\_restore{671CBD97-24C5-46A9-A5E9-94D219BD0DCB}\RP178\A0072638.exe'); DeleteFile('C:\System Volume Information\_restore{671CBD97-24C5-46A9-A5E9-94D219BD0DCB}\RP178\A0073868.exe '); DeleteFile('C:\WINDOWS\system32\lowsec\local.ds'); DeleteFile('C:\WINDOWS\system32\lowsec\user.ds'); DeleteFile('C:\WINDOWS\logfile32.txt'); DeleteFile('C:\Documents and Settings\1\Application Data\fieryads.dat'); DeleteFileMask('%Tmp%', '*.*', true); DeleteFileMask('C:\Documents and Settings\1\Application Data\FieryAds ', '*.*', true); DeleteFileMask('C:\WINDOWS\system32\lowsec', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\lowsec'); DeleteDirectory('C:\Documents and Settings\1\Application Data\FieryAds'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. - Запустите MBAM - выберите Perform Full Scan (Провести полную проверку) - нажмите Scan (Проверить) - после сканирования выберите Ок и далее Show Results (Показать результаты) - нажмите Remove Selected (удалить выделенные). Удалите это: Код:
Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
посмотрите логи пожалуйста | Bilal | Безопасность | 8 | 12.01.2011 22:28 |
ПОСМОТРИТЕ пожалуйста логи | Ramik | Безопасность | 13 | 27.11.2010 21:11 |
Пожалуйста посмотрите логи | Nebes | Безопасность | 8 | 26.11.2010 20:55 |
посмотрите пожалуйста логи | Djemma | Безопасность | 2 | 29.06.2010 17:06 |
Посмотрите пожалуйста логи | burik | Безопасность | 6 | 24.05.2010 15:57 |
Посмотрите, пожалуйста, логи | Cyber | Безопасность | 2 | 24.05.2010 15:53 |
Посмотрите пожалуйста логи | Евгений528 | Безопасность | 17 | 24.05.2010 00:12 |
Посмотрите пожалуйста логи | klimenkoab | Безопасность | 14 | 23.05.2010 03:06 |
Посмотрите пожалуйста логи | Elly | Безопасность | 14 | 20.05.2010 19:42 |
Посмотрите логи, пожалуйста | Парфён Рогожин | Безопасность | 1 | 05.05.2010 23:15 |
Логи, посмотрите пожалуйста | Nikolos | Безопасность | 7 | 16.03.2010 12:41 |