-
Junior Member
- Вес репутации
- 52
Internet Security
Здравствуйте. на одной из машин был обнаружен этот вирус. с помощью перестановки даты удалось добиться более менее спокойного запуска программ. установила HijackThis, запустила AVZ. к сожалению очень торопилась и сделала все немного не в том порядке. пофиксила в HijackThis пункты f2 и O20
с помощью скрипта:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\autochk.exe:BA K:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.ex e','');
QuarantineFile('C:\WINDOWS\TEMP\cs.dll','');
DeleteFile('C:\WINDOWS\TEMP\cs.dll');
DeleteFile('c:\windows\explorer.exe:userini.exe');
DeleteFile('C:\WINDOWS\system32\autochk.exe:BAK:$D ATA');
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(;
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
удалось частично деактивировать вирус. скрипт переделывала из темы с аналогичной проблемой. после пыталась запустить др.веб - безрезультатно: определяет его как архив, работать не хочет. сделала нужные логи в обратно порядке. хотелось бы разобраться с процессами, потому как боюсь лишнее удалять.
P.S. извините за сумбурность поста и выполнения логов у нас тут холодно и еще понедельник
Последний раз редактировалось Bratez; 18.01.2010 в 14:03.
Причина: убрал лишнее вложение
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Чужие скрипты выполнять не надо.
И карантин в тему больше не пркрепляйте!
1. Скачайте AVZ версии 4.32 и обновите ее базы!
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\10C.exe','');
DeleteFile('C:\WINDOWS\system32\10C.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
DeleteFile('c:\windows\explorer.exe:userini.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67690).
4. Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
обновить не получилось, интернет скачет. вечером дома только смогу еще попробовать. скрипт и логи сделала
-
Junior Member
- Вес репутации
- 52
Файл сохранён как 100118_151817_virus_4b54518915414.zip
Размер файла 60322
MD5 3ccf6ee92939681d9300175d645ad5d0
архив карантина
-
В логах больше ничего плохого не видно, но все-таки для большей уверенности сделайте актуальной версией AVZ со свежими базами, когда будет возможность.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.ai ( BitDefender: Trojan.Generic.2964797, AVAST4: Win32:FakeAlert-GE [Trj] )
-