a-connect уже достал

Printable View

12.11.2009, 23:17
uDemon

Вложений: 3

a-connect уже достал

Прошу помощи, заранее спасибо!
12.11.2009, 23:21
Никита Соловьев

[I][COLOR="Red"]1. Отключите системное восстановление![/COLOR][/I]

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\BSuBT.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл [B]quarantine.zip[/B] закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы

Сделайте новые логи
12.11.2009, 23:41
uDemon

Вложений: 1

[B]quarantine.zip [/B]закачать не удалось, говорит "Данный файл уже был загружен".

Восстановление системы отключил.
12.11.2009, 23:43
Никита Соловьев

Проблема решена?
12.11.2009, 23:51
uDemon

Пока не проявляется, хотя AVZ выдает:
Функция NtCreateKey (29) перехвачена (80623786->B9EAB0E0), перехватчик spah.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC8CA2), перехватчик spah.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC9030), перехватчик spah.sys
Функция NtOpenKey (77) перехвачена (80624B58->B9EAB0C0), перехватчик spah.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC9108), перехватчик spah.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC8F88), перехватчик spah.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC919A), перехватчик spah.sys

Если возобновится - отпишусь.

P.S. Спасибо.
12.11.2009, 23:59
pig

Это эмулятор дисков. Windows нефирменная сборка? Просто ни Алкоголь, ни Daemon Tools в логе HJT не видны.
13.11.2009, 19:47
uDemon

Вот же ж. Вместо BSuBT.exe появился BSvBT.exe

Пока почистил ручками, посмотрим что дальше будет.

Вопрос: откуда этот вирус попадает на машину, каким путем?
13.11.2009, 19:55
pig

Заплатки на систему все стоят?
13.11.2009, 19:56
uDemon

Нет, все что выходило после SP3 не ставил. Я имею в виду они из инета или из локалки лезут?
13.11.2009, 20:04
Никита Соловьев

Из интернета, автозапуском со съемных носителей, могут и из локальной сети. В любом случае необходимо установить последние обновления