появился банер File Downloader заблокировал доступ к сети и интернету, требуется скинуть смс на номер 1350
Printable View
появился банер File Downloader заблокировал доступ к сети и интернету, требуется скинуть смс на номер 1350
Запустите утилиту в аттаче get.zip,ПК перезагрузится. Повторите логи.
Сделал, вот новые логи
[B]avz-avz Guard-включить avz Guard[/B]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\xXx\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\xXx\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Сделал,банер не исчез, вот новые логи
Выполните скрипт в avz
[code]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новые логи.
Банер не пропадает, вот логи
Отключите avz Guard
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
QuarantineFile('\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
логи, банер попрежнему висит
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\b48dadf8.sys','');
QuarantineFile('\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('C:\WINDOWS\system32\drivers\b48dadf8.sys');
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
карантин за 12-12-2009 пуст, карантин за 11-12-2009 не высылается пишет, что файл уже загружен. банер все еще висит.
жду ответа
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('aekgoprn.dll','');
DeleteFile('aekgoprn.dll');
QuarantineFile('b48dadf8.sys','');
DeleteFile('b48dadf8.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пролечитесь [url]http://support.kaspersky.ru/downloads/utils/tdsskiller.zip[/url]
Сделайте новые логи.
Карантин пуст, утилита ничего не нашла, вот логи
Сделайте еще такие логи:
[url]http://virusinfo.info/showthread.php?t=40118[/url] [url]http://virusinfo.info/showthread.php?t=53070[/url]
Сканирование смог сделать только MBAM, Gmer вылетает после сразу после автосканирования
Удалите в [url=http://virusinfo.info/showpost.php?p=493584&postcount=2]mbam [/url]
[code]
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
[/code]
Сделаете новый лог mbam
Сделайте еще такой лог [url]http://virusinfo.info/showthread.php?t=58309[/url]
вот новые логи
1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
Банер пропал, сеть заработала. Спасибо за помощь!!!