Значит, не все извели. Повторяйте логи.теперь services.exe запрашивает соединение с navlot.com...
Svchost.exe запрашивает подозрительные соединения
#21
Отправлено 27 Апрель 2010 - 11:26
Борис А. Чертенко aka Borka.
#22
Отправлено 27 Апрель 2010 - 13:57
Прикрепленные файлы:
#23
Отправлено 27 Апрель 2010 - 14:17
Пофиксите в Хайджеке и посмотрите, не появляются ли записи:вот
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ffd0276a.exe,\\?\globalroot\systemroot\system32\9BCQLEO.exe,
А лог КуреИта где?
Борис А. Чертенко aka Borka.
#24
Отправлено 27 Апрель 2010 - 14:26
возьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.вот
drweb_scan.zip 1,51К 20 Скачано раз
#25
Отправлено 27 Апрель 2010 - 14:42
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ffd0276a.exe,\\?\globalroot\systemroot\system32\9BCQLEO.exe,
сделал, записи не появляются
возьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.
получается все тоже самое
#26
Отправлено 27 Апрель 2010 - 14:48
Просто запустите сканер. Как отработает стартовую проверку - закрывайте, лог сюда.получается все тоже самое
Борис А. Чертенко aka Borka.
#27
Отправлено 27 Апрель 2010 - 14:48
не может быть.получается все тоже самоевозьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.
сам сканер из агента или по ярлыку запускается?
файл drweb-scan.bat достали из архива, прежде чем запускать? Сделайте ещё раз, приложите drw_results.cab
#28
Отправлено 27 Апрель 2010 - 15:41
нашлось 2 вируса, веб переместил их.
Что с ними делать? удалить их из папки Infected?
Прикрепленные файлы:
#29
Отправлено 27 Апрель 2010 - 15:53
А где это в логе?нашлось 2 вируса, веб переместил их.
Что с ними делать? удалить их из папки Infected?
Борис А. Чертенко aka Borka.
#30
Отправлено 27 Апрель 2010 - 15:59
так что мне делать с этими инфицированными файлами которые в папке infected?
Прикрепленные файлы:
#31
Отправлено 27 Апрель 2010 - 16:02
Зачем такой скриншот? Там же ноль информации по делу.так что мне делать с этими инфицированными файлами которые в папке infected?
Нужна запись в логе CureIt!, где видно как сканер эти файлы детектит и в какое время был детект
#33
Отправлено 27 Апрель 2010 - 16:09
имелся ввиду сканер.в правилах же написано "Если у Вас НЕ установлен Drweb
Скачайте свежий CureIt - это будет файл размером около 14 Мб"...
Мне значит все равно проделать операции с CureIt[ sensored ]?
рестарт, обновите drweb, сделайте новый комплект логов для контроля.
#34
Отправлено 27 Апрель 2010 - 16:09
АВ-Деск засчитывается за устновленного Доктора. Что в логе спайдера по перемещенным сусликам?в правилах же написано "Если у Вас НЕ установлен Drweb
Скачайте свежий CureIt - это будет файл размером около 14 Мб"...
Мне значит все равно проделать операции с CureIt[ sensored ]?
Борис А. Чертенко aka Borka.
#35
Отправлено 27 Апрель 2010 - 16:16
#36
Отправлено 27 Апрель 2010 - 16:17
Прикрепленные файлы:
#37
Отправлено 27 Апрель 2010 - 16:21
Да.это лог спайдера?
У Вас там только один инфицированный файл виден:
Зашлите его сюда http://vms.drweb.com/sendvirus в категорию Запрос на лечение с описанием ситуации.27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - инфицирован Trojan.Starter.origin
27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - перемещен как 'C:\Program Files\DrWeb AV-Desk\Infected.!!!\SETB.tmp.695E243B'
#38
Отправлено 27 Апрель 2010 - 16:26
Если не перегружались, кто такой процесс с PID = 0640 ?Да.это лог спайдера?
У Вас там только один инфицированный файл виден:Зашлите его сюда http://vms.drweb.com/sendvirus в категорию Запрос на лечение с описанием ситуации.27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - инфицирован Trojan.Starter.origin
27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - перемещен как 'C:\Program Files\DrWeb AV-Desk\Infected.!!!\SETB.tmp.695E243B'
Борис А. Чертенко aka Borka.
#39
Отправлено 27 Апрель 2010 - 16:29
Все сделал
#40
Отправлено 27 Апрель 2010 - 16:31
я не понял
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых