-
Junior Member
- Вес репутации
- 50
Лечение вируса PC Defender
Добрый день! На ноутбуке поймали вирус PC Defender, удалил его с помощью Virus Removal Tool, так же прогнал компьютер CureIt, anti-malware, все чисто. Решил еще проверить AVZ, при эвристическом анализе системы появилось несколько процессов подозрительных процессов. Просьба проверить чиста ли система на текущий момент.
p.s.: Нет возможности подключиться к интернету, поэтому не могу приложить virusinfo_syscheck, если он понадобится приложу чуть позже
Последний раз редактировалось olejah; 23.11.2010 в 13:40.
Причина: Убрал лишнее
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\27.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Обновите базы АВЗ
- Повторите логи
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ всё найденное
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\81.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 50
-
-
-
Junior Member
- Вес репутации
- 50
Считаю проблему решенной. Большое спасибо за помощь
-
Наблюдайте за появлением зверья с цифровым именем в папке system32 (по типу тех, что я удалял в скриптах). Они обычно просто так не уходят и любят "воскрешаться".
-
-
Junior Member
- Вес репутации
- 50
Хорошо, если появяться можно в приницп апускать скрипт на подобие Вашего, только с указанием новых файлов?
-
По логике - да, но лучше к нам - поднимайте тему.
-
-
Junior Member
- Вес репутации
- 50
После лечения заметил такую проблему. при попытке расскрыть окно оно раскрывается не полностью (см. вложение). С чем может быть связано?
Все, спасибо! Сам разобрался
Последний раз редактировалось neonox; 24.11.2010 в 16:55.
Причина: сам решил
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения вредоносные программы в карантинах не обнаружены
-