Что осталось после Internet Security

**Vladt** · 25.01.2010, 16:32

Словил вирус требующий смс на номер 4460.Активировал код.Почистил
с помощью Dr. Web Live CD,хотелось бы узнать какая зараза осталась.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 25.01.2010, 17:02

Профиксить:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pnko.jso iefgnn
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmmcqo.dll','');
DeleteFile('C:\WINDOWS\system32\mmmcqo.dll');
DelCLSID('63MAD6M8-1MAD-81AD-JIM6-56OP5G1234999');
 QuarantineFile('c:\NEXT\GENERATION\NeXT.exe','');
 DelBHO('{793B3219-2D6F-45DD-BCA4-8BEB57772C2D}');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\eqdlib.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\eqdlib.dll');
 DeleteFile('c:\NEXT\GENERATION\NeXT.exe');
executeRepair(6);
executeRepair(11);
executeRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи.
Прислать карантин

AVZ:
Мастер поиска и устранения проблем -- Все проблемы, отметить и выполнить

**Vladt** · 26.01.2010, 17:36

Извините но не пойму какие файлы я должен вставить в АВЗ для
добавления в карантин?
Могу ли я добавлять в карантин и делать логи в Safe mode т.к.
в обычном режиме в моей системе нет режима отключения восстановления системы
хотя это и ХР?

**PavelA** · 26.01.2010, 17:43

В Правилах Приложение 3 написано как делать карантин.

В "Просмотр карантина" зайдите. Если там есть файлы, то их отметьте и сверху нажмите иконку с дискетой.

**Vladt** · 27.01.2010, 15:59

Высылаю логи.
Карантин пустой

**PavelA** · 27.01.2010, 16:07

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\winagent.exe','');
 DeleteFile('c:\windows\system32\winagent.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить станд скрипт №2.
Если в карантин что-то попадет, то прислать.

**Vladt** · 27.01.2010, 16:28

Скрипты выполнены.Карантин пуст.

**PavelA** · 27.01.2010, 16:29

Лог тогда пришлите.

**Vladt** · 27.01.2010, 16:38

высылаю лог

**PavelA** · 27.01.2010, 17:02

Код:

begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\mmmcqo.dll', '')); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ',')); 

RebootWindows(true);
end.

Еще раз этот же лог повторите.

**Vladt** · 27.01.2010, 17:14

высылаю лог

Что осталось после Internet Security (заявка № 68670)

Опции темы

Что осталось после Internet Security

вопрос

Похожие темы

Проверка после Internet Security

Был Internet Security - что осталось неизвестно

Internet Security после

разблокировка после Internet Security

После лечения Internet Security

Ваши права в разделе