Вроде бы был Кидо, чищу остатки, есть руткит
Вроде бы был Кидо, чищу остатки, есть руткит
Последний раз редактировалось localnetlock; 26.02.2010 в 16:10.
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
В AVZ выполните скрипт:
После перезагрузкиКод:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\lzqjisks.dll',''); QuarantineFile('Ras910cw.sys',''); QuarantineFile('C:\WINDOWS\system32\0EBD7.tmp',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\0EBD7.tmp'); DeleteFile('C:\WINDOWS\system32\lzqjisks.dll'); BC_ImportAll; ExecuteSysClean; AddToLog(inttostr(BC_ServiceKill('ghuai')) ); AddToLog(inttostr(BC_ServiceKill('qxpfug')) ); SaveLog(GetAVZDirectory+'avz_log.txt'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите
Файл по красной ссылке прикрепить не могу
пишет:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Да и такое ощущение что ЗИП архив получился битый, или же формат какой то другой сейчас используется
Последний раз редактировалось localnetlock; 26.02.2010 в 16:10.
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
Поищите файл Ras910cw.sys и добавьте его в карантин вручную.
Последний раз редактировалось localnetlock; 14.02.2010 в 12:22. Причина: Добавлено
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
В хайджеке пофиксите:
Выполните скрипт в AVZ:Код:O3 - Toolbar: duden.de Toolbar - {92F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
Повторите лог virusinfo_syscheck.zipКод:begin SetAVZGuardStatus(True); DeleteService('Ras910cw'); DeleteFile('Ras910cw.sys'); ExecuteSysClean; BC_DeleteSvc('Ras910cw'); BC_Activate; RebootWindows(true); end.
Всё сделал, только компьютер при перезагрузке из скрипта перезагружается не мгновенно, а очень долго ждёт, как будто ничего и не происходит и просит нажать на кнопку "ОК" (как обычно после скрипта) и лишь потом спустя время нормально перезагружается.
Последний раз редактировалось localnetlock; 26.02.2010 в 16:10.
Рекомендации после лечения или 10 заповедей для здоровья компьютера
[URL]http://virusinfo.info/showthread.php?t=30339[/URL]
Обновить Internet Explorer, Adobe\Acrobat, поставьте 3 сервис пак (возможно потребуется активация)+ все последующие обновления безопасности.
nod32 активен, значит уберите из системы BitDefender8 и DrWeb . Более ничего плохого не нахожу. Проблема решена?
Уважаемый(ая) localnetlock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.