Сейчас обсуждают

[Alucart]

Проблема с ПК: пропал комп в локальной сети, собственные расшареные папки не видит. Служба "Сервер" не запускается. Думаю, что вирус. Сделал логи.

Все в одном архиве.
avz4.rar

Сообщение отредактировал Alucart - 14.7.2011, 11:47

[Feo]

Добрый день!

AVZ - Файл - Выполнить скрипт

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('mhlhwyxf.dll','');
QuarantineFile('C:\WINDOWS.0\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS.0\system32\srvsvc.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('mhlhwyxf.dll');
DeleteFile('C:\Program Files\opera\setupapi.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer', 'c:\ serv.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните

Код

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ появится архив quarantine.zip, отошлите его на malware<at>russia.ru(<at> замените на @) — ОБЯЗАТЕЛЬНО!

1. Панель управления — Администрирование — Службы — кнопка Экспорт списка. Сделайте экспорт служб. Прикрепите к новому сообщению.
2. Панель управления — Администрирование — Просмотр событий. Просмотрите события, связанные со службой "Сервер", скопируйте и вставьте в сообщение пару примеров.
3. Найдите c:\ serv.log и прикрепите к своему сообщению.
4. Проверьте, есть ли такой файл по пути C:\Program Files\Common Files\msado320.tlb, отпишитесь.

Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и сделайте полное сканирование MBAM (Приложение 9.1)

[Alucart]

1. Services.txt
2. http://gyazo.com/b1d6fa55fff6f1af1c06bf9cb955d62e.png
http://gyazo.com/f266f3eef8e6a683c3298a1ed1009b05.png
3. serv.log
4. Нет, не нашел.
virusinfo_syscheck.zip
mbam-log-2011-07-15 (12-16-27).txt

Сообщение отредактировал Alucart - 15.7.2011, 12:21

[Feo]

AVZ - Файл - Выполнить скрипт

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\сергей\Local Settings\Temp\1\svchost.exe','');
DeleteFile('C:\Documents and Settings\сергей\Local Settings\Temp\1\svchost.exe');
DeleteFileMask('C:\Documents and Settings\сергей\Local Settings\Temp\1', '*.*', true);
DeleteDirectory('C:\Documents and Settings\сергей\Local Settings\Temp\1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните

Код

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.

В папке AVZ появится архив quarantine1.zip, отошлите его на malware<at>russia.ru(<at> замените на @) или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО!

После перезагрузки:
Пуск — Сетевые подключения — Подключение по локальной сети — Свойства — Служба доступа к файлам и принтерам сетей Microsoft, выбрать ее и нажать Удалить.
Перезагрузитесь.
После перезагрузки:
Пуск — Сетевые подключения — Подключение по локальной сети — Свойства — кнопка Установить... — Служба — Добавить — Служба доступа к файлам и принтерам сетей Microsoft — Ок.
Перезагрузитесь.
Панель управления — Администрирование — Службы — Сервер. Проверьте, чтобы было Авто и Работает.
Пуск — Выполнить — вписать regedit. Пройти по пути

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

В ключе

Код

netsvcs

кликнуть на значении и в списке проверить наличие строки LanmanServer

Проверьте доступность компьютера в локальной сети, если нужно сделайте необходимые настройки.
Сделайте повторное полное сканирование MBAM (Приложение 9.1)