Добрый день любимому сайту :)
Порно-заставка лезет при любом обращении к браузеру.
Хелп)
Логи выкладываю.
Printable View
Добрый день любимому сайту :)
Порно-заставка лезет при любом обращении к браузеру.
Хелп)
Логи выкладываю.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(16);
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteRepair(8);
DeleteService('sysdrv32');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\SounDriverCashe.dll','');
QuarantineFile('C:\WINDOWS\system32\gNsRAI.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\geyekrewqqhxre.dll','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('\\?\globalroot\systemroot\system32\geyekrewqqhxre.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новыe логи AVZ и приложите к этой теме.
Базы обновил, скрипт выполнил, новые логи выкладываю. Битый час со своим никаким НЕТом пытаюсь закачать карантин... Еще и при обращении к флешке чз раз в ребут сваливается...
Если карантин нужен - продолжаю упражнения(
Какрантин нужен. Он должен быть не большой. Если большой, сделайте новый архив, в котором будут только файлы, упомянутые тут:
[QUOTE] QuarantineFile('C:\WINDOWS\system32\SounDriverCashe.dll','');
QuarantineFile('C:\WINDOWS\system32\gNsRAI.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\geyekrewqqhxre.dll','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
[/QUOTE]
Наконец добрался до кабеля с радиодоступа...
Карантин выложен с результатом [SIZE=2]Файл сохранён как[/SIZE][SIZE=2]091010_153741_virus_4ad07205f27a0.zip[/SIZE][SIZE=2]Размер файла[/SIZE][SIZE=2]695119[/SIZE][SIZE=2]MD5[/SIZE][SIZE=2]e10a2b3a83d45e2d35f5c1b032f748ea[/SIZE]
Логи повторяю.
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Логи не дает выложить - так как вроде уже есть...
Очистите карантин AVZ.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(17);
BC_DeleteSvc('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('\systemroot\system32\drivers\geyekrtymafwog.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\dwsvc32.sys','');
QuarantineFile('c:\windows\system32\smsc.exe','');
DeleteFile('c:\windows\system32\smsc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\dwsvc32.sys');
DeleteFile('\systemroot\system32\drivers\geyekrtymafwog.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\system32\gNsRAI.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sound','DLLName');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполнено.
Карантин :
[SIZE=2]Файл сохранён как[/SIZE][SIZE=2]091010_165036_virus_4ad0831c515d3.zip[/SIZE][SIZE=2]Размер файла[/SIZE][SIZE=2]445593[/SIZE][SIZE=2]MD5[/SIZE][SIZE=2]dae2827bccd19c912df9d0e197aa474b
[/SIZE]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Повторите п.2 Диагностики и сделайте такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url].
Выполнено - выкладываю.
Выполните скрипт в avz
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\windows\system32\drivers\geyekrrk.sys','');
DeleteFile('C:\windows\system32\drivers\geyekrrk.sys');
QuarantineFile('C:\windows\system32\geyekrcmd.dll','');
DeleteFile('C:\windows\system32\geyekrcmd.dll');
QuarantineFile('C:\windows\system32\geyekrlog.dat','');
DeleteFile('C:\windows\system32\geyekrlog.dat ');
QuarantineFile('C:\windows\system32\geyekrwsp.dll','');
DeleteFile('C:\windows\system32\geyekrwsp.dll ');
QuarantineFile('C:\windows\system32\geyekr.dat','');
DeleteFile('C:\windows\system32\geyekr.dat');
QuarantineFile('C:\windows\system32\geyekrwsp8.dll','');
DeleteFile('C:\windows\system32\geyekrwsp8.dll ');
QuarantineFile('C:\windows\system32\geyekroaxtleiw.dll','');
DeleteFile('C:\windows\system32\geyekroaxtleiw.dll ');
QuarantineFile('C:\windows\system32\geyekrqqeipyvi.dat','');
DeleteFile('C:\windows\system32\geyekrqqeipyvi.dat ');
QuarantineFile('C:\windows\system32\geyekrkfiftpux.dll','');
DeleteFile('C:\windows\system32\geyekrkfiftpux.dll');
QuarantineFile('C:\windows\system32\geyekrxlieewmd.dat','');
DeleteFile('C:\windows\system32\geyekrxlieewmd.dat');
QuarantineFile('C:\windows\system32\geyekrewqqhxre.dll','');
DeleteFile('C:\windows\system32\geyekrewqqhxre.dll');
QuarantineFile('C:\windows\system32\drivers\geyekrtymafwog.sys','');
DeleteFile('C:\windows\system32\drivers\geyekrtymafwog.sys');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts\main');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts\modules');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts\main');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts\modules');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог gmer.
Поправил.
Ошибка позиции 28:20
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
Исправьте скрипт, пожалуйста)
Выполнено.
Карантин пустой))
Логи выкладываю - второй на всякий случай)
Пофиксите в hijackthis
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
[/code]
Сделаете hijackthis.log
Выполнено - выкладываю.
Чисто.Проблемы остались ?
Надеюсь, что нет! Громадное спасибо вам всем)))
Спасибо не пишется, а нажимается.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Win32.Worm.Sohanad.NEI )[*] c:\windows\system32\gnsrai.dll - [B]Trojan.Win32.Delf.pba[/B] ( DrWEB: Trojan.Kor, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\soundrivercashe.dll - [B]Trojan.Win32.Delf.pcn[/B] ( DrWEB: Trojan.Kor )[*] \\?\globalroot\systemroot\system32\geyekrewqqhxre.dll - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2438994, NOD32: Win32/Olmarik.MF trojan, AVAST4: Win32:Alureon-DA [Rtk] )[/LIST][/LIST]