Словил вирус требующий смс на номер 4460.Активировал код.Почистил
с помощью Dr. Web Live CD,хотелось бы узнать какая зараза осталась[B][URL="http://www.freedrweb.com/cureit/?lng=ru"].
[/URL][/B]
Printable View
Словил вирус требующий смс на номер 4460.Активировал код.Почистил
с помощью Dr. Web Live CD,хотелось бы узнать какая зараза осталась[B][URL="http://www.freedrweb.com/cureit/?lng=ru"].
[/URL][/B]
Профиксить:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pnko.jso iefgnn
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/CODE]
выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmmcqo.dll','');
DeleteFile('C:\WINDOWS\system32\mmmcqo.dll');
DelCLSID('63MAD6M8-1MAD-81AD-JIM6-56OP5G1234999');
QuarantineFile('c:\NEXT\GENERATION\NeXT.exe','');
DelBHO('{793B3219-2D6F-45DD-BCA4-8BEB57772C2D}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\eqdlib.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\eqdlib.dll');
DeleteFile('c:\NEXT\GENERATION\NeXT.exe');
executeRepair(6);
executeRepair(11);
executeRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи.
Прислать карантин
AVZ:
Мастер поиска и устранения проблем -- Все проблемы, отметить и выполнить
Извините но не пойму какие файлы я должен вставить в АВЗ для
добавления в карантин?
Могу ли я добавлять в карантин и делать логи в Safe mode т.к.
в обычном режиме в моей системе нет режима отключения восстановления системы
хотя это и ХР?
В Правилах Приложение 3 написано как делать карантин.
В "Просмотр карантина" зайдите. Если там есть файлы, то их отметьте и сверху нажмите иконку с дискетой.
Высылаю логи.
Карантин пустой
выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winagent.exe','');
DeleteFile('c:\windows\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд скрипт №2.
Если в карантин что-то попадет, то прислать.
Скрипты выполнены.Карантин пуст.
Лог тогда пришлите.
высылаю лог
[CODE]begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\mmmcqo.dll', '')); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
RebootWindows(true);
end.[/CODE]
Еще раз этот же лог повторите.
высылаю лог