Здравствуйте,помогите пожалуйста.
Проверьте ЛОГИ!!!
Printable View
Здравствуйте,помогите пожалуйста.
Проверьте ЛОГИ!!!
Уважаемый(ая) [B]miki[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\mediaget toolbar\rubarupdateservice.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Sun\birq49.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iMesh_setup.exe','');
QuarantineFile('C:\WINDOWS\system32\ibpkjwm.dll','');
DeleteFile('C:\WINDOWS\system32\ibpkjwm.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
НОВЫЕ ЛОГИ
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\mediaget toolbar\rubarupdateservice.exe');
TerminateProcessByName('c:\program files\mediaget\mediaget.exe');
DeleteFile('c:\program files\mediaget\mediaget.exe');
DeleteFilemask('c:\program files\mediaget','*.*',true);
Deletedirectory('c:\program files\mediaget');
DeleteFilemask('c:\program files\mediaget toolbar','*.*',true);
Deletedirectory('c:\program files\mediaget toolbar');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Sun\birq49.dll');
DelCLSID('{F8E27364-3269-4CA0-884A-34D180B2566B}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Выполнено. Признаки вируса не наблюдаются.
Выполните скрипт
[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
Файл fystemRoot.log прикрепите к новому сообщению, сделайте новый лог virusinfo_syscheck.zip
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\sun\\birq49.dll - [B]Trojan.Win32.Monder.mqgt[/B] ( DrWEB: Trojan.Siggen2.17006, BitDefender: Gen:Variant.Kazy.25131, AVAST4: Win32:Malware-gen )[*] c:\\program files\\mediaget toolbar\\rubarupdateservice.exe - [B]not-a-virus:WebToolbar.Win32.Rubar.a[/B][/LIST][/LIST]