-
1. Нажмите на клавиатуре Win+R => Введите regedit => Нажмите Enter => Откроется редактор реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg и удалите следующие параметры:
Код:
h1dljoba
MSNetDKNowiz
Pzjsjh
Screen Saver Pro 3.1
tsexta
tsfffa
2. Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('E:\Disk_H\Загрузки\ariv_97697.exe','');
QuarantineFile('F:\Install_Free\ДИАГНОСТИЧЕСКИЙ\ФЛЕШКА_2\1C Мои Документы\1c\каталог\программные_лицензия_1с.exe','');
QuarantineFile('I:\Disk_G\OSTAPTCHUK\MAY_DOC\Macro\spread.exe','');
QuarantineFile('I:\Disk_G\PC_GENA\Игры\40_Mini_Games\best-friends.exe','');
QuarantineFile('I:\Disk_G\PC_GENA\Игры\Куриная месть. Первая разборка\миниигры\ружо.exe','');
QuarantineFile('C:\Documents and Settings\Dum_Dum\Application Data\6.exe.gonewiththewings','');
DeleteFile('C:\Documents and Settings\Dum_Dum\Application Data\6.exe.gonewiththewings','32');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Сделайте новые логи AVZ, RSIT
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 39
Для информатива: Скрипты выполняются только в "Безопасном режиме".
-
Сделайте еще лог UVS (http://virusinfo.info/showthread.php?t=121767)
Что с проблемой кстати?
-
-
Junior Member
- Вес репутации
- 39
Не убитые вирусом флешки кончились. Проверяю немедля.....
- - - Добавлено - - -
Ура! И трижды еще Ура! Как Вы на форуме не призывали к сдержанности у выражении эмоций-удовлетворение от решении проблемы не скрыть. Проблема решена. Комп - не заражает флешки. Благодарность от меня последует одним из предлагаемых способов. Лог от UVS еще актуален?
-
Да сделайте на всякий случай. Вдруг еще что нибудь найду интересное.
-
-
Junior Member
- Вес репутации
- 39
Делаю и этот лог. Еще. Это все 1/4 дела. Еще осталось три аналогично зараженных рабочих станций. Скажите, пожалуйста, сценарий "борьбы" с вирусом такой же или в силу наработки с эти компом есть возможность применить уникальный способ?
-
Для каждого нового зараженного компьютера создайте отдельную тему т.к. скрипты уникальны для каждого компьютера.
-
-
Junior Member
- Вес репутации
- 39
Вопрос. А как поступить с теми зараженными рабочими станциями где интернет отсутствует (вместе с сетевыми платами)? Организовать на них интернет или же все логи возможно напосылать из иных с интернетом станций? Спасибо.
- - - Добавлено - - -
Т.е. исследуваемые логи из зараженных станций.
-
Выполните скрипт в uVS:
Код:
;uVS v3.80.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
addsgn 1A01509A5583C58CF42B16A1B48812C684AAFEB789AC756CDB4605C9576E714E231728510593E04EA04627BF44574990798F00E97DDAB07574D4A4DD8706A7B3 8 Trojan-Ransom.Win32.Blocker.ckap
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DXAMOVNFH.EXE
bl 0AE2E4D9E7B3EC84AFB2EFD23992F57B 103936
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DXAMOVNFH.EXE
addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959F778C4C34CB1B4D6304CAA0223577F551454F780C59FCF2391FA3CDF614F81DAF12C4BFBB12FC6472215 8 BackDoor.Kuluoz.4 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DUM_DUM\APPLICATION DATA\TEMP.BIN
bl C2787E4E3B95E0057277EB1261E02D84 168448
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DUM_DUM\APPLICATION DATA\TEMP.BIN
zoo %SystemDrive%\PROGRAM FILES\LIGHT ALLOY\UNINST.EXE
exec "C:\Program Files\smwdgt\unins000.exe"
chklst
delvir
deltmp
restart
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог UVS.
-
-
Junior Member
- Вес репутации
- 39
Невозможно прислать лог UVS LULU_2013-10-02_20-20-56.zip (486 kb) через менеджер вложений. Последний выдает ошибку о превышениии размера. Действительно, отображает "936.4 Кб of 976.6 Кб Used". Как очистить от ранее загруженных вложений? Спасибо.
-
Загрузите образ UVS на http://www.rghost.ru полученную ссылку прикрепите.
Как удалить старые вложения?
-
-
Junior Member
- Вес репутации
- 39
Загрузил образ UVS через Менеджер вложений.
-
Выполните скрипт в uVS:
Код:
;uVS v3.80.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
delref ALCTEXADEXMQAXMTEAAAAAFRHX8F/X8FH/8FHX//HX8F/X8FH/8FHX//HX8F/X8FH/8FHX//HX8F/VR6+7H4EHMQAAAAQX8FHAMFHXWAAAABXY8VL/8VLY/+ULM3/AADU/4+PZV/LY8V/G4PO/WWM0//LY8V/Y8VL/8VLY/+KPKS6AAAAM8VLYWDLY8SAAAAAU9DQ0P/Q0ND/0NDQ/05O2F8DHD3/Y8VQ/4EH1F8MDN7/0NDQ/9DQ0P/Q0ND/0NDQ/2VLZXSAAAAK0NDQAAAAAE/U1NT/1NTU/9TU1P/FXDB/FBTQ/3BW3/+JIDZ/DAZR/9TU1P/U1NT/1NTU/9TU1P/JYCNKDW8PUWAAAACAAABL2DNZ/9NZ2F/Z2DN/2DNZ/4WF5F8KCVB/ODJV/W0N9F/Z2DN/2DNZ/9NZ2F/Z2DN/2DNZ/6IOQKYAAAAQAAAASOLI4V/I4UL/4ULI/6IO6V8LC/7/QKL2/ZO69/8NDF3/4ULI/+LI4V/I4UL/4ULI/+LI4V/G4OD7AAAARGAAAETX8FH/8FHX//HX8F81OVZ/BG/5//HX8F+FOVB/GB3+//HX8F/X8FH/8FHX//HX8F/X8FH/7+/V+WAAAEIAAABA9VB2//B29V/29VB/HSZ//7K3+F/29VB/QK35/YUZ/V/29VB/9VB2//B29V/29VB/9VB2/8JIYKMAAAAKAAAAPPN5+F/5+FN/+FN5/Z5U/V+OSVV/+FN5/6+4+/80TP//+FN5//N5+F/5+FN/+FN5//DW8OMXFXDBAAAABGAAADJ7+/V/+/V7//V7+/+RO/3/UG7+/7/J/P+CRF3/Q2P///V7+//7+/V/+/V7//V7+/+TK5NNAAAAGFV7+WAAAAA1/F39//39/F/9/F3/9VJ9/4YK/V9TD///QWN//05Z///9/F3//F39//39/F/C3NYSAAAAH/39/QD9/F0AAAAAMV7+/V/+/V7//V7+//7+/V/+/V7//V7+//7+/V/+/V7//V7+//7+/V/5+FNPPJ4+PGAAAAN+/V4A/V7+AAAAACN39/FI////////////////////////////////////////////////TBW1CGAAABF///8A////AP///WAAAAAVAAAAKAAAAC4AAAAUAAAALGAAAC4AAAAUAAAALGAAAC4AAAAUAAAALGAAABV///8A////AP///WD///8AAA8AAAAHAAAAAWAAAAMAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAMAAAADAAAABWAAAA8AAA==\DATA:IMAGE/X-ICON;BASE64,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
restart
Компьютер перезагрузится.
Сделайте новый лог UVS.
-
-
Junior Member
- Вес репутации
- 39
Результат выполнения скрипта в UVS (не через "Прислать запрошенный карантин")
- - - Добавлено - - -
новый лог UVS.
-
-
-
Junior Member
- Вес репутации
- 39
Проверил Usb-флешу еще раз. Все в порядке. Комп не заражет. Все в порядке.
-
1. Удалите MBAM через установка и удаление программ.
2. Выполните скрипт в АВЗ:
Код:
begin
ClearQuarantine;
end.
3. - Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-
-
Junior Member
- Вес репутации
- 39
Лог SecurityCheck.tx присылать?
-
Да прикрепите его в теме.
-
-
Junior Member
- Вес репутации
- 39