27.09.2011, 23:45 | #91 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Jaguar1, мда... Скрипт выполнился, перезагрузка была?
UAC выключите временно, и попробуйте ещё раз. ---------- Добавлено в 22:26 ---------- Предыдущее сообщение было написано в 22:20 ---------- Так, стоп, одну вещь проглядел, сейчас скрипт переделаю. ---------- Добавлено в 22:45 ---------- Предыдущее сообщение было написано в 22:26 ---------- Jaguar1, отключите UAC и делайте, как в предыдущий раз, содержимое CFScript.txt ниже: Код:
KillAll:: NetSvc:: nex0 nex1 nex2 nex3 nex4 nex5 nex6 nex7 netsvcs_0x1 netsvcs_0x2 netsvcs_0x3 netsvcs_0x4 netsvcs_0x5 netsvcs_0x6 netsvcs_0x7 netsvcs_0x8 netsvcs_0x9 netsvcs_0x10 nex8 netsvcs_0x11 netsvcs_0x12 nex9 netsvcs_0x13 netsvcs_0x14 netsvcs_0x15 netsvcs_0x16 netsvcs_0x17 netsvcs_0x18 netsvcs_0x19 netsvcs_0x20 netsvcs_0x21 netsvcs_0x22 netsvcs_0x23 netsvcs_0x24 netsvcs_0x25 netsvcs_0x26 PCAudit 123 Tiya10752680AI WamnSvc File:: c:\windows\System32\tcpwamnlib.exe c:\windows\system32\sho179.tmp c:\windows\system32\ddus.exe c:\windows\system32\shoE455.tmp c:\users\hex1433.exe c:\windows\system32\shoBE80.tmp c:\windows\system32\sho607B.tmp c:\windows\system32\gouri.bat c:\windows\system32\dll50987.dll c:\windows\system32\dll75511.dll Driver:: Folder:: c:\windows\system32\i4622 c:\windows\system32\i8067 c:\windows\system32\i2922 c:\windows\system32\i7279 c:\windows\system32\i3159 c:\windows\system32\i1026 Registry:: Reboot:: |
28.09.2011, 14:31 | #93 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Jaguar1, ситуация такая: в компьютере глубоко окопались зловреды, которые ещё и подкачивают всё новых, так что при таком лечении "по переписке" скрипт просто опаздывает за реальной ситуацией. Одних гадов давим, другие за это время успевают закачаться, установиться в системе, и возвращают положение дел... Поэтому надо всё-таки обновить базы KIS и просканировать весь диск C:, отключившись от интернета. Там есть зловреды, которых KIS явно должен знать, что ж он ничего не видит-то у вас... Всё, что найдётся - лечить, неизлечимое - удалять. После окончания лечения интересно было бы посмотреть на лог. Также после этого сделайте новый лог ComboFix. Если радикально не улучшим ситуацию, придётся лечиться с загрузочного диска/флэшки.
|
29.09.2011, 12:50 | #96 (ссылка) |
Новичок
Регистрация: 11.07.2011
Сообщений: 156
Репутация: 0
|
Ну вот и uVs заработал
---------- Добавлено через 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 999999999999999999999999999999999999999999 ---------- Предыдущее сообщение было написано в 10:49 ---------- 72угроз 59 нейтрализовано |
Ads | |
29.09.2011, 13:13 | #97 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Jaguar1, вот уже пошли дела
Скопируйте скрипт из окна "код" ниже в буфер обмена: Код:
;uVS v3.71 script [http://dsrt.dyndns.org] delref EXIT delref HTTP://XN--80AFAT5B.XN--P1AI deltmp delnfr restart После перезагрузки нужен новый лог ComboFix, хочу убедиться, что все скрытые гадости вычищены. |
29.09.2011, 14:32 | #99 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Так, уже гораздо лучше. Теперь хотелось бы посмотреть на остатки недодавленной нечисти. Выполните такой скрипт в AVZ:
Код:
begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); ExecuteStdScr(2); QuarantineFile('c:\windows\system32\tcpwamjlib.exe',''); BC_QrFile('c:\windows\system32\tcpwamjlib.exe'); QuarantineFile('c:\users\Юра\AppData\Roaming\ezpinst.exe',''); BC_QrFile('c:\users\Юра\AppData\Roaming\ezpinst.exe'); BC_Activate; RebootWindows(true); end. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. |
29.09.2011, 15:43 | #101 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Jaguar1, В AVZ выполнить скрипт:
Код:
begin SearchRootkit(true, true); DeleteFile('c:\windows\system32\tcpwamjlib.exe'); DeleteFile('c:\program files\common files\akamai\netsession_win_b31de1e.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Akamai\Parameters','ServiceDll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Скачайте антируткит Gmer со случайным именем. Запустите программу (В Windows Vista и 7 запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: * Sections * IAT/EAT * Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save), выложите его на файлообменник и дайте ссылку. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Посмотрите логи.подозрение на вирусы | DarkKiber | Безопасность | 10 | 22.07.2011 15:07 |
Проверьте логи.Подозрение на вирусы | DarkKiber | Безопасность | 1 | 22.06.2011 01:31 |
Подозрение на вирусы, проверьте лог пож-та. | elenka | Безопасность | 4 | 01.06.2011 12:59 |
Подозрение на вирусы.Проверьте логи | DarkKiber | Безопасность | 1 | 22.05.2011 21:07 |
Подозрение на вирусы. проверьте логи | gvedas | Безопасность | 2 | 14.04.2011 13:54 |
Нужна помощь. Подозрение на вирусы. Проверьте логи! | Add | Безопасность | 1 | 15.02.2011 09:13 |
подозрение на вирусы, проверьте пожалуйста логи... | Mexikanskoe_Tyshkano | Безопасность | 12 | 01.12.2010 22:34 |
Подозрение на вирусы, проверьте пожалуйста логи | katari | Безопасность | 12 | 30.11.2010 23:20 |
Проверьте логи,есть подозрение на вирус | DarkKiber | Безопасность | 3 | 27.11.2010 21:25 |
Есть подозрение, проверьте логи | Эд516 | Безопасность | 4 | 06.11.2010 01:24 |
Проверьте пожалуйста логи (подозрение на вирусы) | Глеб | Безопасность | 13 | 01.04.2010 20:10 |
У меня подозрение на вирусы проверьте логи | Сидъ | Безопасность | 6 | 26.01.2010 16:07 |