|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрения на вирусы |
|
|
[решено] Подозрения на вирусы
|
|
Пользователь Сообщения: 106 |
Добрый день!
У подруги случилась беда, подвис скайп и с тех пор не заходило в него, после переустановки поле "логин" окрасилось в черный цвет и ничего ввести нельзя. Ну я недолго думая сразу сделал логи, чтоб обратиться сюда! Дело в том, что и антиврус некоторое время не обновлялся, скорей всего несколько недель, что и подтолкнуло меня сделать логи. Пожалуйста, проверьте, что, да как там, всё делал при помощи Team Viewer 6. Заранее спасибо! И в ещё, файл Hosts был пуст, я его заполнил стандартным содержанием. |
|
|
Отправлено: 15:27, 07-06-2011 |
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать Здравствуйте,
Сейчас посмотрю логи. Добавлено позже: Вам уже ответили... |
|
Последний раз редактировалось Farger, 07-06-2011 в 15:53. Отправлено: 15:48, 07-06-2011 | #2 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать ● Выполните скрипт в AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\apppatch\wgojtgg.dat','');
QuarantineFile('C:\WINDOWS\apppatch\vrxybo.dat','');
DeleteFile('C:\WINDOWS\apppatch\vrxybo.dat');
DeleteFile('C:\WINDOWS\apppatch\wgojtgg.dat');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\e77e5c05','*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\e77e5c05');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофиксить в hijackthis: Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\wgojtgg.dat,C:\WINDOWS\apppatch\wgojtgg.dat,C:\WINDOWS\apppatch\vrxybo.dat, Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
|
------- Отправлено: 15:52, 07-06-2011 | #3 |
|
Пользователь Сообщения: 106
|
Профиль | Отправить PM | Цитировать Спасибо за ответ!
Скрипт выполнил, пофиксил всё, кроме строчки F2, т.к. её не было в списке! Логи прилагаю! |
|
Последний раз редактировалось Darkan, 11-08-2012 в 20:40. Отправлено: 17:11, 07-06-2011 | #4 |
|
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Darkan, по поводу Skype
http://lenta.ru/news/2011/06/07/skype/ VPetsPlayer устанавливали? В логах чисто. Что-то еще беспокоит? Можете восстановить, это ложное срабатывание. Код:
Заражённые файлы: c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Quarantined and deleted successfully. c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. |
|
|
------- Последний раз редактировалось zirreX, 07-06-2011 в 17:24. Отправлено: 17:13, 07-06-2011 | #5 |
|
Пользователь Сообщения: 106
|
Профиль | Отправить PM | Цитировать Цитата zirreX:
В общем всё вроде бы нормально! Спасибо большое!) |
|
|
Отправлено: 17:36, 07-06-2011 | #6 |
|
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Создайте новую контрольную точку восстановления и удалите предыдущие.
http://safezone.cc/forum/showthread.php?t=2065 Java обновить до последней версии. |
|
------- Отправлено: 17:43, 07-06-2011 | #7 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Есть подозрения | homaykle | Лечение систем от вредоносных программ | 7 | 09-04-2011 20:20 | |
| [решено] Подозрения на оперативную память... | shwarcer | Непонятные проблемы с Железом | 6 | 23-03-2011 00:05 | |
| [решено] Подозрения.... | Aljonushka_ | Лечение систем от вредоносных программ | 29 | 26-04-2010 12:33 | |
| [решено] Есть подозрения | 12341234 | Лечение систем от вредоносных программ | 18 | 16-04-2008 19:45 | |
| Подозрения на вирус | Farman | Лечение систем от вредоносных программ | 6 | 27-12-2007 21:50 | |
|
|
Время: 06:56. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
