 |
|
|
23.05.2010, 15:38
|
#151 (ссылка) |
|
Знаток
|
Anderson555, в логах ни чего плохого.
Однако закроем одну уязвимость в системе. Выполните скрипт в AVZ. Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.
|
|
|
24.05.2010, 11:56
|
#152 (ссылка) | |
|
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
Файлы для проверки
Цитата:
HiJ http://exfile.ru/102798 С этим компьютером ночью улетаю в командировку... Выручайте! |
|
|
|
| Ads | |
|
24.05.2010, 12:02
|
#153 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки: Код:
O20 - Winlogon Notify: yayxuurs - yayxuurs.dll (file missing) Затем запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\201-rts\Local Settings\temp\smrtwfpy.dll');
DeleteFile('C:\Documents and Settings\201-rts\Local Settings\temp\xt.dll');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log 1) Укажите имена ваших учеток на компе 2) Попробуйте после скрипов загрузиться в больной учетке и выполнить логи. |
|
|
|
24.05.2010, 13:04
|
#154 (ссылка) |
|
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
После выполнения скрипта
AVZ http://exfile.ru/102812 HiJ http://exfile.ru/102813 Учетка 201-rts Пробую в больной учетке... ---------- Добавлено в 10:56 ---------- Предыдущее сообщение было написано в 10:45 ---------- При загрузке сообщение: не могу открыть ('C:\Documents and Settings\201-rts\Local Settings\temp\xt.dll'); HiJ http://exfile.ru/102816 Сейчас добавлю AVZ ---------- Добавлено в 11:04 ---------- Предыдущее сообщение было написано в 10:56 ---------- AVZ http://exfile.ru/102818 PS при работе HiJack были ошибки доступа к файлам. Учетка ограничена. |
|
|
|
24.05.2010, 13:07
|
#155 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Плохо что Ограниченная учетка! Для лечения нужны права Администратора. Сейчас попробуем выполнить скрипт в avz Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
ExecuteSysClean;
RebootWindows(true);
end.
|
|
|
|
24.05.2010, 13:43
|
#157 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Фишка в том что лог Админской учетки и ограниченной отличаются. В одной я увижу то что нужно удалить а в другой этого нет. Поэтому сложно вычищать из-под одной учетки проблемные места другой учетки. |
|
|
|
24.05.2010, 14:08
|
#160 (ссылка) |
|
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
Сорри, исправляюсь:
При загрузке больной учетки двойная ошибка - не могу найти C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat http://exfile.ru/102838 http://exfile.ru/102839 |
|
|
| Ads | |
|
24.05.2010, 14:11
|
#161 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Пробуем в больной учетке выполнить Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteRepair(7); RebootWindows(true); end. ЗЫ Эту ограниченную учетку можно на ноги поднять сделав нормальной со всеми правами? На полчаса сделать а потом вернуть в ограниченную. Иначе запаримся исправлять. 
|
|
|
|
24.05.2010, 14:35
|
#162 (ссылка) |
|
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
При загрузке те же сообщения
Под больной учеткой у HiJack нет доступа к Hosts Как поднять учетку не знаю - в пользователях у нас только Administrator и ASPNet. http://exfile.ru/102849 http://exfile.ru/102848 |
|
|
|
24.05.2010, 14:40
|
#163 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Под учеткой Админа сделайте следующее: В реестре в ветке HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows удалите у параметра LOAD значение C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat В файле C:\WINDOWS\win.ini отредактируйте убрав значение load=C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat |
|
|
|
24.05.2010, 15:36
|
#165 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Вот об этом я и упоминал ранее! В ограниченной учетке мало что можно поправить из под другой учетки.... ЗЫ А вы эти параметры смотрели из под полноценной учетки или ограниченной? В реестр под ограниченной попасть можете? Последний раз редактировалось 01pump; 24.05.2010 в 15:57. |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Вирус pornhub.com | expressq123 | Безопасность | 8 | 18.08.2010 14:15 |
| Помогите удалить pornhub.com | Kolbtsovi4 | Безопасность | 30 | 25.06.2010 15:02 |
| баннер Pornhub.com,помогите удалить! | Flashix | Безопасность | 8 | 23.06.2010 00:36 |
| Вирус Pornhub | saruul | Безопасность | 16 | 27.05.2010 13:44 |
| Вирус Баннер Pornhub | Rodolfo | Безопасность | 14 | 26.05.2010 18:59 |
| Вирус pornhub | Millton | Безопасность | 16 | 23.05.2010 20:45 |
| Вирус pornhub.com | Ойра | Безопасность | 30 | 23.05.2010 17:43 |
| Удалить SMS-банер pornhub | san001 | Безопасность | 1 | 22.05.2010 11:59 |
| Вирус pornhub.com | Parabellum | Безопасность | 25 | 19.05.2010 19:53 |
| Удалить вирус pornhub.com, ссылка на лог в сообщении | andersen78 | Безопасность | 10 | 16.05.2010 17:12 |
