-
Junior Member
- Вес репутации
- 55
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('LMS03AB-B707-11d2-9CBD-0000F87A369E');
QuarantineFile('C:\WINDOWS\Ie(1).Exe','');
QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\yQsXxDTBYg.dll','');
QuarantineFile('C:\WINDOWS\system32\nt6to4.dll','');
QuarantineFile('C:\WINDOWS\system32\WMDLFFOH8B\J002.exe','');
DeleteService('vfsd');
DeleteService('test1');
DeleteService('panp');
QuarantineFile('C:\WINDOWS\system32\panp.exe','');
QuarantineFile('fwrefwe3.sys','');
DeleteService('fwrefwe3');
DeleteService('vsr');
QuarantineFile('C:\WINDOWS\system32\QWM0DMCCE2\eoo1.exe','');
QuarantineFile('C:\WINDOWS\system32\szace.exe','');
DeleteService('szace');
QuarantineFile('C:\WINDOWS\system32\379593.exe','');
DeleteService('Storm DDOS Service');
QuarantineFile('C:\WINDOWS\gsfd.exe','');
QuarantineFile('C:\WINDOWS\system32\nahvay.exe','');
QuarantineFile('C:\WINDOWS\system32\iiwsic.exe','');
DeleteService('Nationaluaa');
DeleteService('Klerter');
DeleteService('bhhn');
DeleteService('frrd');
QuarantineFile('c:\windows\system32\prptsvstart.dll','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('c:\program files\microsoft office\svchost.exe','');
QuarantineFile('c:\program files\internet explorer\svchost.exe','');
QuarantineFile('c:\windows\temp\opec.exe','');
QuarantineFile('c:\windows\temp\ope8.exe','');
QuarantineFile('c:\windows\temp\ope10.exe','');
QuarantineFile('c:\windows\system32\q3h5fxinqx\b7878.exe','');
DeleteFile('c:\windows\system32\q3h5fxinqx\b7878.exe');
DeleteFile('c:\windows\temp\ope10.exe');
DeleteFile('c:\windows\temp\ope8.exe');
DeleteFile('c:\windows\temp\opec.exe');
DeleteFile('c:\program files\internet explorer\svchost.exe');
DeleteFile('c:\program files\microsoft office\svchost.exe');
DeleteFile('C:\WINDOWS\TEMP\ope10.exe');
DeleteFile('C:\WINDOWS\TEMP\ope8.exe');
DeleteFile('C:\WINDOWS\TEMP\opeA.exe');
DeleteFile('C:\WINDOWS\TEMP\opeC.exe');
DeleteFile('C:\WINDOWS\system32\Q3H5FXINQX\B7878.exe');
DeleteFile('c:\windows\system32\prptsvstart.dll');
DeleteFile('C:\WINDOWS\gsfd.exe');
DeleteFile('C:\WINDOWS\system32\nahvay.exe');
DeleteFile('C:\WINDOWS\system32\iiwsic.exe');
DeleteFile('C:\WINDOWS\system32\379593.exe');
DeleteFile('C:\WINDOWS\system32\szace.exe');
DeleteFile('C:\WINDOWS\system32\QWM0DMCCE2\eoo1.exe');
DeleteFile('fwrefwe3.sys');
DeleteFile('C:\WINDOWS\system32\panp.exe');
DeleteFile('test1.sys');
DeleteFile('C:\WINDOWS\system32\WMDLFFOH8B\J002.exe');
DeleteFile('C:\WINDOWS\system32\nt6to4.dll');
DeleteFile('C:\WINDOWS\system32\yQsXxDTBYg.dll');
DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CXAFK16N\dl[1].ocx');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CXAFK16N\zj[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\eoo1[2].exe');
DeleteFile('C:\WINDOWS\Ie(1).Exe');
DeleteFile('C:\WINDOWS\system32\Q3H5FXINQX\eoo1.exe');
DeleteFile('C:\WINDOWS\system32\R7VIMEN7WE\eoo1.exe');
DeleteFile('C:\WINDOWS\system32\RMK8RP2M32\eoo1.exe');
DeleteFile('C:\WINDOWS\Temp\1593375.exe');
DeleteFile('C:\WINDOWS\Temp\987656.exe');
DeleteFile('C:\WINDOWS\Temp\ope11.exe');
DeleteFile('C:\WINDOWS\Temp\ope9.exe');
DeleteFile('C:\WINDOWS\Temp\opeB.exe');
DeleteFile('C:\WINDOWS\Temp\opeD.exe');
DeleteFile('C:\WINDOWS\system32\47.scr');
DeleteFile('C:\WINDOWS\system32\85.scr');
DeleteFile('C:\WINDOWS\system32\28.scr');
DeleteFile('C:\WINDOWS\system32\67.scr');
DeleteFile('C:\WINDOWS\system32\03.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
скачайте заново авз и повторите логи
-
-
Junior Member
- Вес репутации
- 55
V_Bond, AVZ виснет (как обычный, так и полиморф) при выполнении скрипта на пункте:
1.5 Проверка обработчиков IRP
Проверка завершена
[микропрограмма лечения]>Удален элемент Active Setup
глюк со вставкой из буфера пропал, зато после попытки выполнить скрипт появились новые: временами не удается запустить диспетчер задач, и ркгается при запуске исполняемых файлов "Отказано в доступе к указанному устройству, пути или файлу. Возможно у вас нет нужных прав доступа к этому объекту"
+ HJZ все таки смог просканировать до конца, лог на всякий случай прикрепляю, но в последующие разы так же виснет на О4, на строке с загрузкой языковой панели.
Последний раз редактировалось ГитКЗ; 26.10.2010 в 13:30.
Мой внутренний мир настолько огромен, что Я давно там заблудился...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
thyrex, ComboFix работать адекватно отказывается, самостоятельно не желает даже запускаться, проходит прогресс-бар, доходит до соглашения о использовании и все, больше ничег оне происходит, только процессы в диспетчере висят. После долгих плясок с бубном вокруг процессов удалось его запустить, но все равно, после прохождения всех стадий, началось удаление файлов, и так на нем и повисло (на удалении папки C:\ProgramFiles\StormII)
вот меня интересует такой вопрос, не может ли Авира как то влиять на работу лечащих утилит?
Мой внутренний мир настолько огромен, что Я давно там заблудился...
-
Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение.
Выполняли перед запуском ComboFix?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
thyrex, да, конечно, единственно что смущает, полностью выгрузить Авиру не удалось, только деактивировал защиту, сейчас попробую снести Авиру и запустить еще раз.
Добавлено через 46 минут
Спасибо всем за помощь, но клиент требует скорее свой комп назад, придется сносить систему Тему можно закрывать.
Последний раз редактировалось ГитКЗ; 24.04.2010 в 09:28.
Причина: Добавлено
Мой внутренний мир настолько огромен, что Я давно там заблудился...