Добрый день,
Вирус дописывает код java script ко всеи страницам, на всех брайзерах.
Printable View
Добрый день,
Вирус дописывает код java script ко всеи страницам, на всех брайзерах.
Уважаемый(ая) [B]KirillVin1981[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com','');
QuarantineFile('C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe','');
QuarantineFile('C:\DOCUME~1\info4\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\info4\LOCALS~1\Temp\winlogon.exe','32');
DeleteFile('C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','56582');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы.
3. Затем выполните [URL="http://safezone.cc/forum/showthread.php?t=9188"]такой[/URL] скрипт AVZ. На рабочем столе появится текстовый файл [B]Correct_wuauserv&BITS[/B] прикрепите его.
4. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2481034&CUI=UN35541430091477021
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\info4\LOCALS~1\Temp\winlog on.exe,
O4 - HKLM\..\Run: [AdobeFlash] C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe noproxy noicon hide nolog hosts=C:\DOCUME~1\info4\LOCALS~1\Temp\ibaqjez noddns noftp nopop3 nosmtp
O4 - HKLM\..\Policies\Explorer\Run: [56582] C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com
[/CODE]
Этот [B]ProxyServer = 5.9.238.23:808[/B] прокси сервер сами прописывали?
5. Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
6. Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
Михаил, добрый день,
Все сделал по вашей инструкции.
Прокси не прописывал.
Оставил на ночь проверяться MBAM, комп всю ночь рассылал спам (если я правильно понял, порядка 500 входящих сообщений - невозможно доставить).
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dealply (PUP.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\tolko ti (Trojan.StartPage.ooo) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\miss zaglotnik (Trojan.Agent.VBS) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*202EETADPUG (Rootkit.0Access) -> Действие не было предпринято.
Обнаруженные параметры в реестре:
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1M1F1J1T -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|56582 (Trojan.Agent) -> Параметры: C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com -> Действие не было предпринято.
Обнаруженные папки:
C:\Program Files\rib\tolko (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\minet\miss (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\GoogleUpdate.exe (Malware.Packer.ASF) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\msrizxaz.scr (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\mssiyir.com (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\msuvaj.cmd (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\msybxq.cmd (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\UpdateTask.exe (PUP.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\00000004.@ (Rootkit.Zaccess) -> Действие не было предпринято.
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\000000cb.@ (Rootkit.0Access) -> Действие не было предпринято.
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\80000000.@ (Trojan.0Access) -> Действие не было предпринято.
c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\ \ \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\00000004.@ (Rootkit.Zaccess) -> Действие не было предпринято.
c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\ \ \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\000000cb.@ (Rootkit.0Access) -> Действие не было предпринято.
c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\ \ \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\80000000.@ (Trojan.0Access) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc11.exe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc12.exe (Trojan.Buterat) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files\rib\tolko\okkkeeeyy.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\10101001010100101010.ooo (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\gogorun.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\lllll.ggggg (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\malenkiversion.lub (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\maromoika.foi (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\tseplyat_telok.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\Uninstall.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\Uninstall.ini (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\minet\miss\horocho_bistro.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\kjb4rtiyugwuiytefwil45hyopwegtruowet.sdfhisaugf (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\lock_docg_snop_dog.rrr (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\palachi_na_dibah.hhhh (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\shabash.log (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\smoki_mo_mo_mo.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\trehochkovi_ne_dlya.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\mru.xml (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
[LIST=1][*]Скачайте [url=http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe]TDSSKiller[/url][*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt[/i]
От интернета нужно отключиться?
На почту идет бесконечным потоком - Mail delivery failed: returning message to sender
Да лучше отключиться.
Добрый день,
Логи вложением.
1. Отключите восстановление системы, затем удалите все точки восстановления системы. Потом включите обратно и создайте новую точку восстановления системы.
2. Запакуйте целиком эту [B]C:\TDSSKiller_Quarantine[/B] папку с паролем virus и пришлите согласно приложения 2 "[B]Прислать запрошенный карантин[/B]".
3. Удалите в MBAM:
[CODE]
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
[/CODE]
4. Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
C:\Documents and Settings\info4\Application Data\HoolappForAndroid\Hoolapp.exe
C:\Program Files\Sigma-Soft\ORM32\OrmAdm32.dll
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
[url]https://www.virustotal.com/ru/file/171a183d49a7ab4c6a3e6d3487e650b5cc9f51a56f342a7662490a4f91412d24/analysis/1378887423/[/url]
[url]https://www.virustotal.com/ru/file/1133f9bf5119a4851716ad3c51cf3f671b2eca81596564ebffea4389b7431539/analysis/1378888437/[/url]
[url]https://www.virustotal.com/ru/file/171a183d49a7ab4c6a3e6d3487e650b5cc9f51a56f342a7662490a4f91412d24/analysis/1378888994/[/url]
[url]https://www.virustotal.com/ru/file/1133f9bf5119a4851716ad3c51cf3f671b2eca81596564ebffea4389b7431539/analysis/1378888907/[/url]
Удалите в MBAM:
[CODE]
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Hoolapp Android (PUP.Optional.InstallCore.A) -> Параметры: "C:\DOCUME~1\info4\APPLIC~1\HOOLAP~1\Hoolapp.exe" /Minimized -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\info4\Application Data\HoolappForAndroid\Hoolapp.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
[/CODE]
Сделайте новый лог MBAM
Добрый день,
Готово!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc24.rar','Backdoor.Win32.ZAccess');
QuarantineFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc25.rar','Backdoor.Win32.ZAccess');
DeleteFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc24.rar','32');
DeleteFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc25.rar','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы.
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Готово!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'Restore.log');
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки: файл [B]Restore.log[/B] из папки AVZ прикрепите.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 5.9.238.23:808
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ Не увидел нового карантина.
сори, карантин отправил.
Ждем новые логи.
P.S. Во всех карантинах целый зоопарк. :)
Сделано!
Выполните скрипт в AVZ:
[CODE]
begin
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS','Parameters_1');
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','Parameters_2');
end.
[/CODE]
После выполнения в папке [B]avz[/B] появится папка [B]Backup[/B] в которой будет еще одна папка с датой выполнения этого скрипта, в которой в свою очередь будут reg-файлы. Запакуйте их в архив и прикрепите в сообщении.