-
Junior Member
- Вес репутации
- 53
InternetSecutity - вымогатель
Добрый день. Спасибо, что помогаете решать проблемы. Данный вирус проник днём 21.10.2010, скорее всего через AdobeReader 9.2, т.к. в этот момент я просматривал эл. версию журнала РИТМ на сайте RITM-magazine.ru. Разблокировал с помощью кода, взятого на форуме Dr.Web, там сейчас, наверное, больше всего работающих ключей. Запустил AVPtool, который нашел множество зловредов в сист. папках Windows, а также указал на подозрительные файлы, в том числе AdobeReader, AdobeAir. По окончании проверки данные приложения удалить не удалось - типа "запрет администратора". А после перезагрузки перестали работать некоторые сист. службы: winlogon.exe, schelude.exe и др. + сильное торможение. Стоит ли после лечения делать восстановление системы с помощью AVZ ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день. Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,c:\docume~1\666\locals~1\temp\470.exe,
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bndmss.exe','');
QuarantineFile(C:\DOCUME~1\666\LOCALS~1\Temp\425.exe','');
QuarantineFile('C:\DOCUME~1\666\LOCALS~1\Temp\126.exe','');
QuarantineFile('c:\docume~1\666\locals~1\temp\470.exe','');
DeleteFile('c:\docume~1\666\locals~1\temp\470.exe');
DeleteFile('C:\WINDOWS\system32\bndmss.exe');
DeleteFile(C:\DOCUME~1\666\LOCALS~1\Temp\425.exe');
DeleteFile('C:\DOCUME~1\666\LOCALS~1\Temp\126.exe');
DeleteFilemask('C:\DOCUME~1\666\LOCALS~1\Temp','*.*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd','StartupPrograms');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
