Здравствуйте!
Если можно, посмотрите, пожалуйста, все ли чисто ?
Спасибо
Валерий
Printable View
Здравствуйте!
Если можно, посмотрите, пожалуйста, все ли чисто ?
Спасибо
Валерий
virusinfo_cure.zip - карантин...удалите
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\DrUpdate\drupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Пофиксить в HijackThis следующие строчки
[CODE] F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
[/CODE]
Это вы вносили измнения в O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)? Если нет необходимо пофиксить.
[code]O15 - Trusted Zone: http://*.123sdfsdfsdfsd.ru
O15 - Trusted Zone: http://*.capitaller.ru
O15 - Trusted Zone: http://*.enum.ru
O15 - Trusted Zone: http://*.exchanger.ru
O15 - Trusted Zone: http://*.inetlog.ru
O15 - Trusted Zone: http://*.mail.ru
O15 - Trusted Zone: http://*.megastock.com
O15 - Trusted Zone: http://*.megastock.ru
O15 - Trusted Zone: http://valkib.narod.ru
O15 - Trusted Zone: http://*.narod.ru
O15 - Trusted Zone: http://*.oplata.info
O15 - Trusted Zone: http://*.paymer.com
O15 - Trusted Zone: http://*.publicant.ru
O15 - Trusted Zone: http://*.sape.ru
O15 - Trusted Zone: http://*.softactivation.com
O15 - Trusted Zone: http://*.telepat.ru
O15 - Trusted Zone: http://*.volgodonsk.ru
O15 - Trusted Zone: http://*.webmoney.ru
O15 - Trusted Zone: http://*.wmkeeper.com
O15 - Trusted Zone: http://*.wmtransfer.com
O15 - Trusted Zone: http://*.yandex.ru
O15 - Trusted IP range: http://192.168.51.1[/code]
Простите, но я не понял, что значит "отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)" . Я отправил архив quarantine.zip нажав на крассную ссылку вверху "Прислать запрошенный карантин". Это то, что нужно?
В 015 все надежные узлы , прописанные мной.
Ты сделал правильно. АкОк неудачно скопировал свое сообщение ;)
ок , Павел!
Все ли теперь чисто у меня на компе?
[QUOTE=ВалерийК;288289]Все ли теперь чисто у меня на компе?[/QUOTE]Вам по руке погадать? Логи в студию.
Вот, пожалуйста, высылаю логи.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Explorer.exe csrcs.exe','');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
сделал
странно, система говорит: [B]virusinfo_syscure.zip[/B]:
Вы уже вложили этот файл в теме
Но во воложении его не вижу ((
[QUOTE=ВалерийК;288364]
Но во воложении его не вижу (([/QUOTE]Он в предыдущем сообщении. Вы стандартный скрипт 3 после моего скрипта выполняли?
В логах ничего подозрительного.
Установите Сервис Пак3, возможно потребуется активация системы.
[QUOTE=PavelA;288265]Ты сделал правильно. АкОк неудачно скопировал свое сообщение ;)[/QUOTE]
Да, не тот шаблон использовал :D
[quote=Rene-gad;288376]Он в предыдущем сообщении. Вы стандартный скрипт 3 после моего скрипта выполняли?
В логах ничего подозрительного.
Установите Сервис Пак3, возможно потребуется активация системы.[/quote]
[quote=Rene-gad;288376]Он в предыдущем сообщении. Вы стандартный скрипт 3 после моего скрипта выполняли?
В логах ничего подозрительного.
Установите Сервис Пак3, возможно потребуется активация системы.[/quote]
Повторил стандартный скрипт 3. И сделал еще раз логи.
Еще одна заковыка. Ставлю DrWeb . Жучек в трее появился с крестиком. Проверяю папку C:\Program Files\DrWeb\ cureit-ом и он сообщает о зараженности файла spidernt.exe - "инфицирован Win32.HLLM.Limar.origin и не может быть исцелен".
В логах чисто, отправьте файл spidernt.exe аналитикам Доктора,если файл действительно заражен, они должны подкрутить лечение...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\csrcs.exe - [B]Trojan.Win32.Autoit.ey[/B] (DrWEB: Trojan.Siggen.259)[/LIST][/LIST]