Голые тетки на экране поселились

[taishigo]

Уважаемые здравствуйте

Племенник "поймал" голых теток: они "требуют" послать СМС-ку

в безопасном режиме запустил др.Вэб, он трояна Fake, удалил этот файл,
загрузился в обычный режим, тетки не появляются, смог спокойно запустить avz.
Помогите пожалуйста убедиться, что зараза исчезла.

[Nikkollo]

Здравствуйте.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Арина\Рабочий стол\vksaver-install-1.1.6.exe','');
 QuarantineFile('c:\Temp\ccee.exe','');
 DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
 QuarantineFile('D:\Client\acdev.sys','');
 QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
 DeleteFile('C:\Documents and Settings\Арина\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
 DeleteFile('c:\Temp\ccee.exe');
 DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.

[taishigo]

при попытке загрузить карантин по красной ссылке
получил сообщение

"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"

пойду гмер запущу

[taishigo]

логи гмера

[taishigo]

gmer нашел два подсаженных к svchost
помогите их вычистить

[PavelA]

выполнить:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
BC_ServiceKill('rpdhreq');
BC_ServiceKill('upgzajs');
BC_Activate;
Rebootwindows(true);
end.

Лог Гмера повторите.

[taishigo]

у gmer на вкладке cmd два режима
1 cmd.exe
2 regedir.exe

скажите, пожалуйста в каком из них выполнять скрипт

[PavelA]

В AVZ

[taishigo]

звиняте но такого "навороченного скрипта для АВЗ раньше не видел
не признал

вот новые логи гмера

[PavelA]

Это "секретное" оружие. А по сути просто лень bat-файл писать для Гмера.

В логе чисто. проблемы остались?

[taishigo]

больше "безобразницы" не одолевают

спасибо вам большое