Printable View
Здравствуйте! Вы мне уже очень помогли вчера, опять проблема на другой машине. "На вашем компьютере обнаружена не лицензионная версия Windows!" Соответсвенно требуют отправить SMS, по классификации Dr.Web! это Trojan.Winlock.482. По их методу проблема не решается, через короткий промежуток баннер опять появляется. И что характерно если выдернуть сетевой кабель баннер не появляется, вставишь - опля.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\System Volume Information\_restore{64E91CFF-6AA1-491F-836C-22AC000ED436}\RP280\A0054800.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2106742319-4022998053-794537199-6862\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5310216647-2871544775-207274120-6453\sysdate.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5310216647-2871544775-207274120-6453\sysdate.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2106742319-4022998053-794537199-6862\yv8g67.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\System Volume Information\_restore{64E91CFF-6AA1-491F-836C-22AC000ED436}\RP280\A0054800.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=64071[/url]
4. Повторите логи.
Здравствуйте! Извиняюсь, но вчера уже небыло возможности ещё поработать ). Карантин отправил, логи отправляю. Благодарю за терпение.
Мстите ? )))
Объясните, зачем Вы паролите логи AVZ???
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wallmsp.exe','');
QuarantineFile('C:\WINDOWS\system32\dgcbkm.exe','');
QuarantineFile('C:\WINDOWS\system32\oissdmmp.exe','');
QuarantineFile('C:\WINDOWS\system32\ssmcdsw.exe','');
DeleteFile('C:\WINDOWS\system32\ssmcdsw.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qscmdll');
DeleteFile('C:\WINDOWS\system32\oissdmmp.exe');
DeleteFile('C:\WINDOWS\system32\dgcbkm.exe');
DeleteFile('C:\WINDOWS\system32\wallmsp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Пароль касается только карантина? Хорошо )))
Карантин выслал, логи вложил.
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user-2\Мои документы\lj1010seriesprintsys\Temp\hpjsira.exe','');
DeleteFile('C:\Documents and Settings\user-2\Мои документы\lj1010seriesprintsys\Temp\hpjsira.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Карантин отправлен, логи вставлены
Что с проблемами?
А что с проблемами, жду вашего вердикта
Ничего зловредного в логах не увидела.
Т.е. всё? Огромное спасибо! Завтра погоняю. Ещё один вопрос, если именно такая фигня и на этой машине повторится, подойдёт весь тот алгоритм описанный выше, или всё таки есть тонкости? Ещё раз спасибо и удачи во всех ваших делах.
[QUOTE=RockMAX;538860]если именно такая фигня и на этой машине повторится, подойдёт весь тот алгоритм описанный выше, или всё таки есть тонкости?[/QUOTE]
А с чего бы ей повторится? Завтра отпишитесь для того, чтобы можно было закрыть тему.
Здравствуйте! В выходные сам гонял, в понедельник виновник )), всё отлично! Спасибо огромное и низкий поклон (без тени иронии). С Наступющим вас Новым годом! Здоровья, счастья и много казначейских бумажек большого достоинства!!!
Тут засела одна крамольная мыслишка, что если Microsoft как то причастна к этому беспределу, надо же как то людей от хрюши отлучать ))).
Ещё раз спасибо и удачи вам.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-2106742319-4022998053-794537199-6862\yv8g67.exe - [B]P2P-Worm.Win32.Palevo.lrs[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Sdbot.DGDK, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\recycler\s-1-5-21-5310216647-2871544775-207274120-6453\sysdate.exe - [B]P2P-Worm.Win32.Palevo.jos[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2493443, NOD32: Win32/Agent.QBW trojan, AVAST4: Win32:MalOb-U [Cryp] )[*] c:\windows\system32\dgcbkm.exe - [B]Trojan.Win32.Scar.ayoi[/B] ( DrWEB: Trojan.Siggen.38866, BitDefender: Trojan.Generic.2900194, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\oissdmmp.exe - [B]Trojan.Win32.Scar.ayoc[/B] ( DrWEB: Trojan.Siggen.38866, BitDefender: Trojan.Generic.2920485, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\ssmcdsw.exe - [B]Trojan.Win32.Scar.ayob[/B] ( DrWEB: Trojan.Siggen.38866, BitDefender: Trojan.Generic.2920671, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wallmsp.exe - [B]Trojan.Win32.Scar.ayoj[/B] ( DrWEB: Trojan.Siggen.38866, AVAST4: Win32:Malware-gen )[/LIST][/LIST]