Есть подозрения - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Есть подозрения (http://forum.oszone.net/showthread.php?t=204226)

Есть подозрения

По своей дурости запустил подозрительный файл, скаченный из инета. после запуска он удалился. Только после этого догадался отправить на вирустотал- процентов сорок опознали трояндаунлоер. Возникли проблемы с зонами безопасности ИЕ, из- за которых не запускались виджеты. После удаления лишних зон- виджеты работают. Стоит есет4. Прогонял проверку авп и доктор вебом. Вроде бы все чисто. Но... не ставится menedgement studio из ms sql 2008r2. Посоветуйте, что можно сделать.

а чего это вы утилиту из temp запускали?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('c:\windows\temp\ts_730c.tmp','');

DeleteFile('c:\windows\temp\ts_730c.tmp');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

        

R3 - URLSearchHook: (no name) - - (no file)

O13 - Gopher Prefix:

Сделайте повторные логи AVZ + RSIR

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

maniy77, папка temp не системная =) это моя времянная
На C:\ архив карантина не сформировался, отправил тот, что сформировался в корне папки avz. Кроме avz00001.dta и ini файлов в архиве пусто, не знаю должо ли было попасть что- то еще... Результатов проверки еще нет. AVZ при проверке нашел какой- то maleware- не знаю пофиксил ли.
HijackThis пофиксил эти 2 строчки.

вот этот файлик закиньте на http://www.virustotal.com

Код:

c:\Windows\write.exe

ссылку на результат приведите в своем следующем сообщении

ага, пропустила

Код:

C:\Windows\Installer\a8592a.msi

C:\Program Files\Microsoft SQL Server\MSSQL10_50.EDUSERV\MSSQL\Binn\SQLIOSIM.COM

эти файлы тоже на http://www.virustotal.com проверьте

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\Program Files\Microsoft SQL Server\MSSQL10_50.EDUSERV\MSSQL\Binn\SQLIOSIM.COM','');

QuarantineFile('C:\Windows\Installer\a8592a.msi','');

DeleteFile('C:\Windows\Installer\a8592a.msi');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

повторите лог AVZ

Я так понимаю можно жить спокойно?

Только вот menedgement studio так и не ставится...

Цитата:

Цитата homaykle

Только вот menedgement studio так и не ставится... »

ну почему же? я вижу ваш Microsoft SQL Server в процессах и в службах, все запущено и работает.
вижу папки и файлы от программы. Значит встала, возможно криво, пробуйте удалить с обязательной чисткой реестра спецдеинсталляторами (Revo Uninstaller) и установкой заново.

maniy77, не sql server встал, только вот бывший интерпрайз менеджер вставать не хотел. Помогло удалиние из компонентов dotnet`a и его установка заново.
maniy77, Спасибо, сейчас все хорошо.

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.