Все также как у всех, просить отправить смс на номер
Printable View
Все также как у всех, просить отправить смс на номер
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\photo_id.exe');
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\WINDOWS\TEMP\~TM20.tmp','');
QuarantineFile('C:\Documents and Settings\Armanio\photo_id.exe','');
QuarantineFile('C:\Documents and Settings\Armanio\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\m88oqduu.SYS','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('c:\windows\system32\photo_id.exe','');
DeleteFile('c:\windows\system32\photo_id.exe');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\m88oqduu.SYS');
DeleteFile('C:\Documents and Settings\Armanio\Главное меню\Программы\Автозагрузка\sysupd32.exe');
DeleteFile('C:\Documents and Settings\Armanio\photo_id.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS\TEMP\~TM20.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Armanio\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\photo_id.exe');
QuarantineFile('C:\WINDOWS\TEMP\~TM20.tmp','');
QuarantineFile('C:\Documents and Settings\Armanio\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\m88oqduu.SYS','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('c:\windows\system32\photo_id.exe','');
DeleteFile('c:\windows\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\m88oqduu.SYS');
DeleteFile('C:\Documents and Settings\Armanio\Главное меню\Программы\Автозагрузка\sysupd32.exe');
DeleteFile('C:\WINDOWS\TEMP\~TM20.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis
[code]R3 - URLSearchHook: (no name) - - (no file)
O4 - S-1-5-18 Startup: sysupd32.exe (User 'SYSTEM')
O4 - Startup: sysupd32.exe[/code]
Закачайте карантин по красной ссылке вверху страницы. Обновите базы АВЗ (Файл- Обновление баз). Повторите логи
Спасибо - все прошло! Не вижу смысла делать новые логи, т.к. сканировал систему он у меня 2 часа.
Если вы не видите смысла, это ещё не значит, что его нет. Надо же убедиться, что реально вылечились.
Пофиксил, карантин закачал по красной ссылке
вот новые логи:
Еще не все. Пофиксите Hijackthis
[code]R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TM20.tmp
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\Armanio\photo_id.exe
O4 - S-1-5-18 Startup: sysupd32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: sysupd32.exe (User 'Default user')
O4 - Startup: sysupd32.exe[/code]
Лог Hijackthis повторите
новый лог
Чисто.
Поставьте на систему 3 сервис пак(возможно потребуется активация)+последующие обновления безопасности, обновите Java, Internet Explorer, Acrobat reader.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\armanio\главное меню\программы\автозагрузка\sysupd32.exe - [B]Backdoor.Win32.Bredolab.bcf[/B] ( DrWEB: Trojan.DownLoad1.4576, AVAST4: Win32:Malware-gen )[/LIST][/LIST]