23.05.2010, 15:38 | #151 (ссылка) |
Знаток
|
Anderson555, в логах ни чего плохого.
Однако закроем одну уязвимость в системе. Выполните скрипт в AVZ. Код:
begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RebootWindows(true); end. |
24.05.2010, 11:56 | #152 (ссылка) | |
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
Файлы для проверки
Цитата:
HiJ http://exfile.ru/102798 С этим компьютером ночью улетаю в командировку... Выручайте! |
|
Ads | |
24.05.2010, 12:02 | #153 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки: Код:
O20 - Winlogon Notify: yayxuurs - yayxuurs.dll (file missing) Затем запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\201-rts\Local Settings\temp\smrtwfpy.dll'); DeleteFile('C:\Documents and Settings\201-rts\Local Settings\temp\xt.dll'); ExecuteSysClean; RebootWindows(true); end. После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log 1) Укажите имена ваших учеток на компе 2) Попробуйте после скрипов загрузиться в больной учетке и выполнить логи. |
24.05.2010, 13:04 | #154 (ссылка) |
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
После выполнения скрипта
AVZ http://exfile.ru/102812 HiJ http://exfile.ru/102813 Учетка 201-rts Пробую в больной учетке... ---------- Добавлено в 10:56 ---------- Предыдущее сообщение было написано в 10:45 ---------- При загрузке сообщение: не могу открыть ('C:\Documents and Settings\201-rts\Local Settings\temp\xt.dll'); HiJ http://exfile.ru/102816 Сейчас добавлю AVZ ---------- Добавлено в 11:04 ---------- Предыдущее сообщение было написано в 10:56 ---------- AVZ http://exfile.ru/102818 PS при работе HiJack были ошибки доступа к файлам. Учетка ограничена. |
24.05.2010, 13:07 | #155 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Плохо что Ограниченная учетка! Для лечения нужны права Администратора. Сейчас попробуем выполнить скрипт в avz Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat'); DeleteFile('C:\Documents and Settings\All Users\systems.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell'); ExecuteSysClean; RebootWindows(true); end. |
24.05.2010, 13:43 | #157 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Фишка в том что лог Админской учетки и ограниченной отличаются. В одной я увижу то что нужно удалить а в другой этого нет. Поэтому сложно вычищать из-под одной учетки проблемные места другой учетки. |
24.05.2010, 14:08 | #160 (ссылка) |
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
Сорри, исправляюсь:
При загрузке больной учетки двойная ошибка - не могу найти C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat http://exfile.ru/102838 http://exfile.ru/102839 |
Ads | |
24.05.2010, 14:11 | #161 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Пробуем в больной учетке выполнить Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteRepair(7); RebootWindows(true); end. ЗЫ Эту ограниченную учетку можно на ноги поднять сделав нормальной со всеми правами? На полчаса сделать а потом вернуть в ограниченную. Иначе запаримся исправлять. |
24.05.2010, 14:35 | #162 (ссылка) |
Новичок
Регистрация: 21.05.2010
Сообщений: 10
Репутация: 0
|
При загрузке те же сообщения
Под больной учеткой у HiJack нет доступа к Hosts Как поднять учетку не знаю - в пользователях у нас только Administrator и ASPNet. http://exfile.ru/102849 http://exfile.ru/102848 |
24.05.2010, 14:40 | #163 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Под учеткой Админа сделайте следующее: В реестре в ветке HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows удалите у параметра LOAD значение C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat В файле C:\WINDOWS\win.ini отредактируйте убрав значение load=C:\DOCUME~1\201-rts\LOCALS~1\Temp\rfseh.bat |
24.05.2010, 15:36 | #165 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
prilepin,
Вот об этом я и упоминал ранее! В ограниченной учетке мало что можно поправить из под другой учетки.... ЗЫ А вы эти параметры смотрели из под полноценной учетки или ограниченной? В реестр под ограниченной попасть можете? Последний раз редактировалось 01pump; 24.05.2010 в 15:57. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус pornhub.com | expressq123 | Безопасность | 8 | 18.08.2010 14:15 |
Помогите удалить pornhub.com | Kolbtsovi4 | Безопасность | 30 | 25.06.2010 15:02 |
баннер Pornhub.com,помогите удалить! | Flashix | Безопасность | 8 | 23.06.2010 00:36 |
Вирус Pornhub | saruul | Безопасность | 16 | 27.05.2010 13:44 |
Вирус Баннер Pornhub | Rodolfo | Безопасность | 14 | 26.05.2010 18:59 |
Вирус pornhub | Millton | Безопасность | 16 | 23.05.2010 20:45 |
Вирус pornhub.com | Ойра | Безопасность | 30 | 23.05.2010 17:43 |
Удалить SMS-банер pornhub | san001 | Безопасность | 1 | 22.05.2010 11:59 |
Вирус pornhub.com | Parabellum | Безопасность | 25 | 19.05.2010 19:53 |
Удалить вирус pornhub.com, ссылка на лог в сообщении | andersen78 | Безопасность | 10 | 16.05.2010 17:12 |