БАнер с предложением ввести SMS.
Логи сделал в безопасном режиме. Так как в обычном не получается не могу нажать кнопки банер поверх всех окон.
БАнер с предложением ввести SMS.
Логи сделал в безопасном режиме. Так как в обычном не получается не могу нажать кнопки банер поверх всех окон.
Последний раз редактировалось eppa; 17.05.2010 в 15:01.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin QuarantineFile('C:\Documents and Settings\All Users\systems.exe',''); DeleteFile('C:\Documents and Settings\All Users\systems.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Скрипт выполнил, логи повторил. Карантин выслал.
Последний раз редактировалось eppa; 17.05.2010 в 15:01.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin QuarantineFile('C:\Documents and Settings\Alter\Application Data\netprotocol.exe',''); DeleteService('Netprotocol'); DeleteFile('C:\Documents and Settings\Alter\Application Data\netprotocol.exe'); DeleteFile('C:\Documents and Settings\All Users\systems.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Скрипт выполнил,логи карантин прислал.
Последний раз редактировалось eppa; 17.05.2010 в 15:01.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\netprotocol.dll',''); DeleteFile('C:\WINDOWS\system32\netprotocol.dll'); DeleteFileMask('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); DeleteFile('C:\Documents and Settings\Alter\Application Data\netprotocol.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; BC_DeleteSvc('Netprotocol'); RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- затем такой скрипт
После перезагрузки:Код:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Выключил. Скрипты сделал. Логи повторил. Карантин пуст,не высылается говорит что уже загружен. Папка инфектед не пустая я заархивировал в zip и тоже выслал сверху темы.
Последний раз редактировалось eppa; 17.05.2010 в 15:01.
- Выполните скрипт в AVZ
В остальном чисто.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFileMask('C:\Documents and Settings\Alter\Local Settings\Temp', '*.*', true); RebootWindows(true); end.
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\systems.exe - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1477, AVAST4: Win32:MalOb-AR [Cryp] )
- c:\documents and settings\alter\local settings\temporary internet files\content.ie5\iouo7bun\load[1].exe - Trojan.Win32.Agent2.kqx ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.3587571, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )
- c:\documents and settings\alter\local settings\temporary internet files\content.ie5\8cyulhfg\load[1].exe - Trojan.Win32.Agent2.kqx ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.3587571, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )
- c:\documents and settings\alter\local settings\temp\~tm7d.tmp - Trojan.Win32.Agent2.kqx ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.3587571, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )
- c:\documents and settings\alter\local settings\temp\~tm85.tmp - Trojan.Win32.Agent2.kqx ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.3587571, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) eppa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.