-
Junior Member
- Вес репутации
- 55
черный гейский порнобанер
Ничего не мог запустить, снял винт - вылечил касперским на другом пк.
Третий файл (sysinfo) AVZ не создало, у меня английская версия, в стандартных скриптах я выбирал 2-4 пункты, архива этого нету, вместо них какие-то другие с именем пользователя. Может дело в том что я не в безопасном режиме их выполнял.
Последний раз редактировалось Illusion_2009; 16.03.2011 в 14:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\TKFBN.dll
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\f1b9f3df.sys','');
DeleteService('f1b9f3df');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\csrcs.exe','');
QuarantineFile('C:\DOCUME~1\PEV3\LOCALS~1\Temp\TMP7.tmp','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\DOCUME~1\PEV3\LOCALS~1\Temp\TMP7.tmp');
DeleteFile('C:\WINDOWS\System32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\System32\drivers\f1b9f3df.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(11);
Executerepair(16);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Сделайте лог Gmer
Последний раз редактировалось Шапельский Александр; 01.12.2009 в 16:05.
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Illusion_2009; 16.03.2011 в 14:35.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\TDSSmaxt.sys','');
DeleteFile('c:\windows\system32\drivers\TDSSmaxt.sys');
QuarantineFile('c:\windows\system32\TDSSoeqh.dll','');
DeleteFile('c:\windows\system32\TDSSoeqh.dll');
QuarantineFile('c:\windows\system32\TDSSnrsr.dll','');
DeleteFile('c:\windows\system32\TDSSnrsr.dll');
QuarantineFile('c:\windows\system32\TDSSriqp.dll','');
DeleteFile('c:\windows\system32\TDSSriqp.dll');
QuarantineFile('c:\windows\system32\TDSScfub.dll','');
DeleteFile('c:\windows\system32\TDSScfub.dll');
QuarantineFile('c:\windows\system32\TDSSfpmp.dll','');
DeleteFile('c:\windows\system32\TDSSfpmp.dll');
QuarantineFile('c:\windows\system32\TDSSsbhc.dll','');
DeleteFile('c:\windows\system32\TDSSsbhc.dll');
QuarantineFile('C:\WINDOWS\System32\mhiky.dll','');
DeleteFile('C:\WINDOWS\System32\mhiky.dll');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20090415-150509-F8F423C6\ARK3F.tmp','');
QuarantineFile('C:\ARK25.tmp','');
DeleteFile('C:\ARK25.tmp');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20090415-150509-F8F423C6\ARK3F.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service tdssserv.sys
gmer.exe -del file "c:\windows\system32\drivers\TDSSmaxt.sys"
gmer.exe -del file "c:\windows\system32\TDSSoeqh.dll"
gmer.exe -del file "c:\windows\system32\TDSSosvd.dat"
gmer.exe -del file "c:\windows\system32\TDSSnrsr.dll"
gmer.exe -del file "c:\windows\system32\TDSSriqp.dll"
gmer.exe -del file "c:\windows\system32\TDSScfub.dll"
gmer.exe -del file "c:\windows\system32\TDSSfpmp.dll"
gmer.exe -del file "c:\windows\system32\TDSSnmxh.log"
gmer.exe -del file "c:\windows\system32\TDSSsbhc.dll"
gmer.exe -del file "c:\windows\system32\TDSSrhym.log"
gmer.exe -del file "c:\windows\system32\TDSStkdv.log"
gmer.exe -del file "C:\WINDOWS\System32\mhiky.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tdssserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\omzpu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pvwfzcbu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdssserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tdssserv.sys"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новые логи (в нормальном режиме) + новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Illusion_2009; 16.03.2011 в 14:35.
-
В логах чисто, что с проблемой?
Рекомендую обновить, иначе могут быть проблемы:
- Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- Internet Explorer v7.00 до Internet Explorer v8.00;
- Acrobat 7.0 до Acrobat 9.0;
- установить последние обновления на ОС.
-
-
Junior Member
- Вес репутации
- 55
Огромное спасибо за помощь, компьютер работает шустрее чем до возникновения проблемы)) Воспользуюсь вашими советами, спс.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\ark25.tmp - Net-Worm.Win32.Kido.ih
- c:\documents and settings\all users\application data\avira\antivir desktop\temp\avscan-20090415-150509-f8f423c6\ark3f.tmp - Net-Worm.Win32.Kido.ih
- c:\windows\system32\overlapp32.dll - Trojan-Banker.Win32.Delf.ap ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, AVAST4: Win32:Malware-gen )
-