У меня пару странный вирус. Пробовал искать/лечить как указано в правилах, не помогает. ДВэб не работает, Касперский тулл вырубается сам не закончив проверку. Вот логи из АВЗ. Вирус проявляется только при включенной сети.
У меня пару странный вирус. Пробовал искать/лечить как указано в правилах, не помогает. ДВэб не работает, Касперский тулл вырубается сам не закончив проверку. Вот логи из АВЗ. Вирус проявляется только при включенной сети.
Выполните скрипт, компьютер перезагрузится.
Карантин по правилам.
После перезагрузки - еще один скриптКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\svrse.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Администратор.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Document Building Blocks\1025\Build\index\ctfmon.pif',''); QuarantineFile('C:\WINDOWS\system32\dllcache\qxchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Document Building Blocks\1025\Build\index\ctfmon.pif'); DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe'); DeleteFile('C:\Windows\svrse.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\drwuninst.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
fystemRoot.log выложите в тему.Код:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Последний раз редактировалось Alex_Goodwin; 26.10.2009 в 22:00.
сделал!
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BITS
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\BITS исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wuauserv
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\wuauserv исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B ITS
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\BITS исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w uauserv
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\wuauserv исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B ITS
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\BITS исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\w uauserv
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\wuauserv исправлено на оригинальное.
Карантин выслали? Делайте повторные логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот то что просил.
После скриптов карантин не появлялся.
1
выполните скрипт, карантин по правилам:
компьютер перезагрузится.Код:begin QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\xRaidSetup.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe',''); QuarantineFile('C:\WINDOWS\system32\dllcache\qxchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('c:\windows\system32\lsass.exe',''); QuarantineFile('caacmxp.exe',''); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\drwuninst.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe'); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Alex_Goodwin; 26.10.2009 в 23:48.
карантин закачал
Выполните скрипт:
После перезагрузки выполните sfc /scannowКод:begin DeleteFile('C:\WINDOWS\system32\regedit.exe',); DeleteFile('C:\WINDOWS\system32\xRaidSetup.exe',); DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe',); DeleteFile('C:\WINDOWS\system32\dllcache\qxchost.exe',); DeleteFile('caacmxp.exe',); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end.
потом - новые логи.
Добавлено через 30 минут
сделайте лог http://virusinfo.info/showthread.php?t=40118
Последний раз редактировалось Alex_Goodwin; 27.10.2009 в 00:18. Причина: Добавлено
вот лог от гмера
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Ингвар25, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.