-
Junior Member
- Вес репутации
- 58
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\APPS\FRAPS\FRAPS.EXE','');
QuarantineFile('C:\WINDOWS\system32\uiukgr.exe','');
QuarantineFile('C:\WINDOWS\system32\bnftfq.exe','');
QuarantineFile('C:\WINDOWS\system32\9bd89184.exe','');
QuarantineFile('C:\WINDOWS\system32\71362322.exe','');
QuarantineFile('C:\WINDOWS\system32\5085c876.exe','');
QuarantineFile('yqiaja.sys','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
DeleteFile('yqiaja.sys');
DeleteFile('C:\WINDOWS\system32\5085c876.exe');
DeleteFile('C:\WINDOWS\system32\71362322.exe');
DeleteFile('C:\WINDOWS\system32\9bd89184.exe');
DeleteFile('C:\WINDOWS\system32\bnftfq.exe');
DeleteFile('C:\WINDOWS\system32\uiukgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('yqiaja.sys');
BC_DeleteSvc('FCI');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Последний раз редактировалось polword; 21.09.2010 в 00:15.
-
-
Junior Member
- Вес репутации
- 58
Re
Спасибо за ответ!
карантин загрузил, а вот логи
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DeleteFileMask('C:\Program Files\Common Files\20675e8d', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\20675e8d');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
RebootWindows(true);
end.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 58
Вау, у меня ещё и кейлогер сидел!!!
Веерной рассылки спама больше не идёт, но после перезагрузки Avast нашел вирус в памяти - в CnxDSLtb.exe
Так что я просканил всю систему заново и повторяю логи.
Последний раз редактировалось Alex12; 22.09.2010 в 03:57.
-
Процесс легитимный, это аваст глючит...
Выполните процедуру, описанную здесь
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Venus Doom
Процесс легитимный, это аваст глючит...
Выполните процедуру, описанную
здесь
Увы, выполнить не могу, тк этот CnxDSLtb.exe был удален как неподдающийся лечению
-
Сообщение от
Alex12
Увы, выполнить не могу, тк этот CnxDSLtb.exe был удален как неподдающийся лечению
Причём здесь этот файл. Откройте ссылку, почитайте
-
-
Junior Member
- Вес репутации
- 58
Файл сохранён как 100928_140604_virusinfo_files_ACER_4ca1be0cae34e.z ip
Размер файла 7122787
MD5 cb725b7f581433d8f255e7acd5540bbf
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.avbq ( DrWEB: Trojan.Spambot.7539, BitDefender: Trojan.Generic.KD.39031, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Malware-gen )
-