Цепанул вирус, почистил комп, проверьте логи, может осталось что-то ?
Printable View
Цепанул вирус, почистил комп, проверьте логи, может осталось что-то ?
если прокси не прописывали, то пофиксите ...
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
[/code]
не прописывал, но похоже возвращается, 2 раза удалял...
Скачайте файл [url]http://rapidshare.com/files/199106177/toto.pif[/url] (это более свежая версия AVZ, но в ней не обновляются базы).
Сохраните в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
не скачивается... :(
Попробуйте отсюда: [url]http://narod.ru/disk/9321269000/avz.exe.html[/url]
Ирония судьбы... трояна изначально схватил через рекламу ifolder...
не нравятся 2 строки
D:\WINDOWS\System32\Drivers\a4j157pd.SYS F7C77000 066000 (417792)
D:\WINDOWS\System32\Drivers\aaqgdqkc.SYS F7BF8000 065000 (413696)
пробовал удалять аналогичные, но похоже генерятся со случайными именами, DrWeb их не видит
на "полезные" программы не похожи...
Троян записался в реестр для запуском перед winsecguard
убрал из реестра
файл назывался zpx2.exe
не уверен, но вроде раньше в логах AVZ подобной строки не встречал
winsecguard | Windows Security Guard | Не запущен | winsecguard D:\Program Files\Common Files\{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}\components\
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteService('winsecguard');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesMSFtpsvcPerformance','Library');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesInetInfoPerformance','Library');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesSMTPSVCPerformance','Library');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesNTFSDRVPerformance','Library');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Скрипт не помог, все ключи восстановились (или не удалились, так как после выполнения скрипта на перезагрузке комп повис, пришлось перегружать по ресету)
Могу попробовать удалить руками, соответственно, подобные ключи на ходятся ControlSet001 и ControlSet002
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('winsecguard');
BC_DeleteReg('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSFtpsvc\Performance\Library');
BC_DeleteReg('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Performance\Library');
BC_DeleteReg('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Performance\Library');
BC_DeleteReg('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFSDRV\Performance\Library');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
На этот раз сервис удалился, а ключи в реестре нет
не выдержал, прибил вручную
что с проблемой ?