Printable View
вообщем сидит в трее, выдает Spyware detected on your computer ...
недает запустить никакой антивирус (drweb, KIS, Avast), spyware doctor находит 1 проблему (buritos.exe и karina.dat) - сам их удалить не может, удалил forcedelete, остатки чистил сам spyware doctor ... но после ребута та же проблема
... avz запустилась только после ее переименования
... HijackThis - запустить не удается ...
sorry - вот логи ...
HijackThis - никак не запустить
[QUOTE=Shureman;280340]
... avz запустилась только после ее переименования
... HijackThis - запустить не удается ...[/QUOTE]
Замаскированый Хайджек [url]http://freenet-homepage.de/rene-gad/AVZ/RSIT.zip[/url] распакуйте в папку c:\rsit, запустите файл, нажмите Continue, файл log.txt вместе с логами АВЗ - в студию.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NagaevaTB\Local Settings\Temp\loader.exe','');
QuarantineFile('C:\Documents and Settings\NagaevaTB\Local Settings\Temp\uninst.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Documents and Settings\NagaevaTB\Local Settings\Temporary Internet Files\Content.IE5\WPSN4ZOF\Install[1].exe','');
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\buritos.exe','');
DeleteService('upnphostMessenger');
DeleteService('seclogonWebClient');
DeleteService('ScheduleERSvcDcomLaunchwuauserv');
DeleteService('RasAutoEventSystem');
DeleteService('ProtectedStorageNetDDEdsdm');
DeleteService('NetDDEwuauserv');
DeleteService('HidServwscsvc');
DeleteService('dmadminNtLmSsp');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('C:\Documents and Settings\NagaevaTB\Local Settings\Temporary Internet Files\Content.IE5\WPSN4ZOF\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\NagaevaTB\Local Settings\Temp\uninst.exe');
DeleteFile('C:\Documents and Settings\NagaevaTB\Local Settings\Temp\loader.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('upnphostMessenger');
BC_DeleteSvc('seclogonWebClient');
BC_DeleteSvc('ScheduleERSvcDcomLaunchwuauserv');
BC_DeleteSvc('RasAutoEventSystem');
BC_DeleteSvc('ProtectedStorageNetDDEdsdm');
BC_DeleteSvc('NetDDEwuauserv');
BC_DeleteSvc('HidServwscsvc');
BC_DeleteSvc('dmadminNtLmSsp');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.