-
Junior Member
- Вес репутации
- 59
Еще один баннер с 3381
Приветствую уважаемый форум!
Теперь комп друга.
Висит баннер. Отправить в этом случае надо m201017775 на 3381
Не запускается ни обычный ни полиморфный AVZ. Сканирование Хиджеком
завершается выключением компа, в момент когда создается лог.
Код из соседних тем (Попробуйте код - 279346830) не помогает...
Выкладываю два лога хиджека. По первому логу пофиксили две строчки (также нашли и удалили файл srnh.lto, загрузившись с CD... второго (systems.exe) не нашли)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
O4 - HKCU\..\Run: [Shell] C:\Documents and Settings\All Users\systems.exe
Поиски файлов по дате изменения (вчера\сегодня) дали некоторые результаты - найден один файл с дурацким названием из случайных букв с расширением exe. Был также убит. Результат нулевой.
Прошу дать совет и посмотреть логи!
Заранее благодарен
Александр
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день
C:\Documents and Settings\All Users\systems.exe - попробуйте этот файл прислать по правилам!
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
DefesT
Добрый день
C:\Documents and Settings\All Users\systems.exe - попробуйте этот файл прислать по правилам!
Я писал, что не нашли мы его..... к сожалению...
-
Live CD с возможностью смотреть и исправлять в реестре есть под рукой (сможете найти)?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
Live CD с возможностью смотреть и исправлять в реестре есть под рукой (сможете найти)?
да. кажется не все ветки только..
-
Так, попробуйте такой вариант: запустите Internet Explorer и после попробуйте запустить AVZ
Если не поможет, пойдем через LIve CD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
Так, попробуйте такой вариант: запустите Internet Explorer и после попробуйте запустить AVZ
Если не поможет, пойдем через LIve CD
не помогает..
запускаю avz и сразу вылетает баннер, avz не запускается
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
DefesT
попробуйте D33153796
пишет - неверный код
-
Попробуйте m201617568 или Y61184493
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
Попробуйте m201617568 или Y61184493
неверный код в обоих случаях
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
DefesT
попробуйте D36153796
код подошёл
спасибо!
-
-
-
Junior Member
- Вес репутации
- 59
-
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\Program Files\Common Files\System\WebCheck.dll','');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
DeleteFile('E:\Program Files\Common Files\System\WebCheck.dll');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 59
выкладываю virusinfo_syscheck.zip
и карантин, ошибся, выложил до запуска скрипта.. сейчас сделал новый, также высылаю
-
- Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 59
-
-