D_Master

Вчера пришлось все системы переустановить, столы пока чистые. Вот в XP: Потом висту покажу Знакомые капсл-скролл-нам-локи заметил

Botani$t Пофикси в HiJackThis (как фиксить - в FAQ в шапке): R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing) В AVZ выполни скрипт (как выполнить скрипт - в шапке): SetServiceStart('Schedule', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); QuarantineFile('C:\WINDOWS\gdrv.sys',''); DeleteFile('spwk.sys'); DeleteFile('C:\autorun.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\autorun.wsh'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\rcukd.cmd'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\Recycled.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\Recycled.exe'); ExecuteSysClean; RebootWindows(true); end.begin Компьютер перезагрузится. После перезагрузки выполни ещё один: CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.begin Архив quarantine.zip из папки AVZ залей на FTP, ссылку напиши мне. ~Qred~Пофикси в HiJackThis: R3 - URLSearchHook: (no name) - - (no file) O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe (file missing) В AVZ выполни скрипт: SetServiceStart('Schedule', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); QuarantineFile('c:\windows.0\system32\ioctlsvc.exe',''); DeleteFile('spmu.sys'); DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe'); DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe'); DeleteFile('D:\Autorun.exe'); DeleteFile('D:\Autorun.inf'); DeleteFile('spma.sys'); ExecuteSysClean; RebootWindows(true); end.begin Компьютер перезагрузится. После перезагрузки выполни ещё один: CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.begin Архив quarantine.zip из папки AVZ залей на FTP, ссылку напиши мне. ~Qred~, Botani$t Для отключения автозапуска с со всех типов устройств, примените твик реестра (как применить - в шапке): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000Windows Registry Editor Version 5.00

Свою сборку юзаю

Андрей Zhura Могу поискать, только одно условие - живу я в Гусиноозёрске

Dk Kosmonavt Пожалуйста

А мне пофиг, у меня 777 сообщений xD уТоррент гадина обновился сам...

*97 Рентгеноэлектрокардиографический скрытоколокольчик

Она самая *39

A4Tech NB-30D До этого была A4Tech OP-50D

Ээх... сложная ситуация #8 Она мне ещё зайчиком понравилась и тут просто супер *39 nefi я извиняюсь, но на кого?)

Kosmonavt Можно удалить Botani$t Залей архивы на Бурнетовский фтп, у меня не хочет качать с ггв.

Kosmonavt Пофикси в HiJackThis (как фиксить - в FAQ в шапке) O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe Выполни скрипт в AVZ (как выполнить скрипт - в FAQ в шапке): SetServiceStart('RemoteRegistry', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('Schedule', 4); SetServiceStart('RDSessMgr', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); SetServiceStart('JavaQuickStarterService', 4); DeleteFile('.sys'); DeleteFile('C:\WINDOWS\system32\avpo.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('D:\autorun.inf'); ExecuteSysClean; RebootWindows(true); end.begin Dk Логи чистые, правда в точках восстановления были зловреды. Выполни в AVZ скрипт (как выполнить скрипт - в FAQ в шапке): SetServiceStart('RemoteRegistry', 4); SetServiceStart('Schedule', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); DeleteFile('C:\System Volume Information\_restore{9053603E-340A-47BD-8359-4BC94CD7D36F}\RP1\A0000703.exe'); DeleteFile('C:\System Volume Information\_restore{9053603E-340A-47BD-8359-4BC94CD7D36F}\RP1\A0001036.sys'); DeleteFile('E:\System Volume Information\_restore{9053603E-340A-47BD-8359-4BC94CD7D36F}\RP1\A0000439.sys'); RebootWindows(true); ExecuteSysClean; end.begin Оба лога сравнительно чистые

Разрывался м/у #4 и #11. Фотка с биосом добила Так что #11

Brendon_Hit Пожалуйста ЗЫ Добавил FAQ и обновил описание процесса создания логов.

Brendon_Hit Скопировать текст из-под спойлера в блокнот, сохранить в файл с именем "tweak.reg" (обязательно с кавычками!). Затем два раза кликнуть по сохраненному файлу, нажать "Да" и "Ок".

Эээх жалко не смогу придти...

Brendon_Hit В AVZ выполни скрипт: DeleteFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe'); DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe'); DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe'); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'); DeleteFile('spsr.sys'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); DeleteFile('I:\autorun.inf'); DeleteFile('I:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); ExecuteSysClean; RebootWindows(true); end.begin Компьютер перезагрузится. Больше ничего зловредного по логам не вижу. Для отключения автозапуска с устройств примени твик реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000Windows Registry Editor Version 5.00

speedo Останови службу индексации и службу центра безопасности. Одна индексация только нехило процессор грузит.

speedo Антивирус, файрволл, лишние приложения отключил? Какая ОС?

ZyXEL12m94 Некоего Мишы к некоей Наде

mikhan учтем-с

Brendon_Hit Вот с них-то зловреды и скопировались. Подключай флэшки (или форматируй до начала сканирования) и делай логи. Не забудь в AVZ отметить флэшки для сканирования.

Brendon_Hit Думается, после логов подключал чьи-нибудь (возможно, свои) флэшки?

А зачем прилепили?

пингвины нашептали? где находится нофелет?