Имя пользователя:
Пароль:
 

Показать сообщение отдельно

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Цитата Pili:
Предварительно отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. »
Сделали?
Цитата Pili:
Рекомендую дополнительно почитать здесь. »
Рекомендации описанные здесь выполняли? Утилиту wwdc использовали? Также там есть ссылки на заплатки и другие утилиты.
По видимому рекомендации были проигнорированы, т.к.
Код: Выделить весь код
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
И OtmoveIt удалил вредоносную службу, но вы снова заразились, если бы выполнили рекомендации, то зловред был бы удален ещё скриптом из поста 8
Пока вы не выполните рекомендации по защите, лечение бесполезно (компьютер будет заражаться из сети снова)

Деинсталлируйте или Dr.Web или avast и оставьте один антивирус, в Spybot S&D отключите teatimer или также временно деинсталлируйте Spybot S&D
Запустите GMER, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл
Код: Выделить весь код
C:\WINDOWS\system32\jwsros.dll
Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление.
Нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите
Код: Выделить весь код
dwicks
пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete

Файл SysUtils.exe поищите на диске, можно с помощью AVZ или FAR, проверьте на virustotal.com, если зловред - перенесите в др. папку и запакуйте.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код: Выделить весь код
File::
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
Driver::
dwicks

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5298:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f2a43eb-f3c0-11dc-bae5-00016cba8a71}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b23ab61e-6410-11dc-ba1f-00016cba8a71}]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dwicks]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Повторите лог gmer и DDS, а также скачайте GetSystemInfo (GSI) здесь или здесь, запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 08:45, 20-02-2009 | #12