17.01.2011, 01:17 | #1 (ссылка) |
Новичок
Регистрация: 16.11.2009
Сообщений: 78
Репутация: 0
|
Просмотрите логи второго компа
http://fayloobmennik.org/vljkb0jqwuvb.html Пока решил пролечить второй комп и там трояны завелись ! Пролечил антивиром32 но мусор наверное остался. спасибо и в дополнение Опера что-то не работает, чере Explorer работаю
|
17.01.2011, 03:57 | #2 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log'); BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log'); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS.0\system32\sdra64.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportALL; BC_ServiceKill('okiqoqcii'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true); end. |
17.01.2011, 09:32 | #3 (ссылка) |
Новичок
Регистрация: 16.11.2009
Сообщений: 78
Репутация: 0
|
Здраствуйте, Спаибо за ответ, высылаю архив http://fayloobmennik.org/tlx5amt56agj.html
|
17.01.2011, 12:04 | #4 (ссылка) | |
Мастер
|
Такой лог пришлите:
Цитата:
|
|
17.01.2011, 23:57 | #7 (ссылка) |
Новичок
Регистрация: 16.11.2009
Сообщений: 78
Репутация: 0
|
http://www.ge.tt/#4ToEl2T и еще на одном обменнике http://fayloobmennik.org/tlx5amt56agj.html
|
18.01.2011, 00:24 | #8 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
удалите Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UrlLogger (Trojan.Agent) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Зараженные папки: C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\WINDOWS.0\$NtServicePackUninstall$\ctfmon.exe (Trojan.Agent) -> No action taken. Смените пароли, присутствовал червь, ворующий их. Совет на будущее: при переустановке системы используйте форматирование диска! |
Ads | |
18.01.2011, 18:42 | #9 (ссылка) |
Новичок
Регистрация: 16.11.2009
Сообщений: 78
Репутация: 0
|
Зараженные папки:
C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\WINDOWS.0\$NtServicePackUninstall$\ctfmon.exe (Trojan.Agent) -> No action taken. эти папки тоже убрать? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Посмотрите плиз результаты проверки моего компа на вирусы(логи с вашей утилиты) | 3aj4enyw | Безопасность | 56 | 14.12.2010 05:10 |
ХР загружается со второго раза | bezumax | Windows XP | 1 | 03.10.2010 00:32 |
Просмотрите пожалуйста логи, замечены неадекватности в поведении компа | Ярослав Титомир | Безопасность | 4 | 16.06.2010 16:40 |
Установка второго Ос(XP) | Sekit | Windows XP | 2 | 11.06.2010 19:47 |
Временами пропадает выход в инет со второго компа | neadekvat | Интернет и сети | 6 | 06.06.2010 01:11 |
Кэш второго уровня ! | raul245 | Железо | 1 | 02.05.2010 13:28 |
Посмотрите логи этого компа!!! | Сидъ | Безопасность | 1 | 07.03.2010 15:21 |
Установка второго винта | Musketeer | Неисправности, настройка | 12 | 06.03.2010 22:19 |
Посмотрите логи компа №2 | Сидъ | Безопасность | 4 | 11.02.2010 23:39 |
Логи компа №5 | Сидъ | Безопасность | 13 | 11.01.2010 11:12 |
Посмотрите, пожалуйста, логи компа №4 | Сидъ | Безопасность | 2 | 29.12.2009 18:09 |
Посмотрите Логи компа №3 | Сидъ | Безопасность | 8 | 23.12.2009 16:49 |