Чистил комп от вирусов, удалил конфликер. Осталось в логе подозрение на маскировку двух служб и никак не могу удалить. Может еще что-то пропустил. Прошу посодействовать.
Printable View
Чистил комп от вирусов, удалил конфликер. Осталось в логе подозрение на маскировку двух служб и никак не могу удалить. Может еще что-то пропустил. Прошу посодействовать.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('I:\autorun.inf');
DeleteFile('D:\autorun.wsh');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи AVZ + [B][URL=http://virusinfo.info/showthread.php?t=40118]лог GMER[/URL][/B]
Прямое чтение C:\WINDOWS\system32\rsaeu.dll -- похоже конфикер еще жив.
Надо КидоКиллер погонять.
Прошу прощения. Человек выслал мне старые логи, по которым чистил я. Вот что я ему посоветовал сделать:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ute4odky.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\tetatet\tetatet.exe','');
QuarantineFile('C:\WINDOWS\system32\rsaeu.dll',' ');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF54B.tmp',' ');
QuarantineFile('usb_magr.exe',' ');
QuarantineFile('D:\autorun.wsh',' ');
QuarantineFile('D:\autorun.inf',' ');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\Documents and Settings\Администратор\tetatet\tetatet.exe');
DeleteFile('C:\WINDOWS\system32\rsaeu.dll');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF54B.tmp');
DeleteFile('I:\autorun.inf');
DeleteFile('D:\autorun.wsh');
DeleteFile('D:\autorun.inf');
DeleteFile('usb_magr.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportALL;
BC_DeleteSvc('ldrrjztce');
BC_DeleteSvc('yqgdg');
ExecuteSysClean;
ExecuteRepair(4);
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Посмотрев карантин, убедился, что rsaeu.dll - и был конфликер.
После этого в логах осталось только
[CODE]>>> Подозрение на маскировку ключа реестра службы\драйвера "ldrrjztce"
>>> Подозрение на маскировку ключа реестра службы\драйвера "yqgdg"
[/CODE]
Я так понимаю это надо удалять Gmer'ом?
У человека могут возникнуть проблемы с системой, если он выполнит скрипт выше. Если он еще не выполнил пусть сделает лог GMER
Уже выполнил. Про проблемы ничего не говорил. Лог GMER приложу, но не сразу. Просто общаемся по почте, у него лимит интернета в мир закончился а мы из Украины. Мне начинает казаться, что проще приехать к нему и вручную все почистить.
PS: какого рода проблемы могут возникнуть и из-за какого действия в скрипте?
Может слететь svchost.exe + удалены некоторые легитимные программы
Можно поподробнее про легитимные программы, чтобы знать на будущее и уведомить об этом человека?
Раздел обучения здесь: [url]http://virusinfo.info/showthread.php?t=15090[/url]
Подавайте заявку, если есть желание научиться.
Лог GMER ожидается
Там уже зачтены 3 задания) Лог будет.