-
Вложений: 3
Internet Security 3
Друг поймал троян Internet Security. Запуск антивируса (Eset Nod32) блокировался, при запуске любого exe файла появлялось окно "вымогателя". Редактор реестра, диспетчер задач не запускались, вкладки восстановление системы не было. В "Безопасном режиме" картина аналогичная. Сдвиг даты назад не помог. Снял винт, проверил на здоровой машине утилитой AVP Virus Removal Tool, она нашла несколько троянов (точнее одного трояна, но несколько его тел, называется packed.win32.krap.w). Также были очищены папки temp. После этого утилиты AVZ, HJ заработали. С помощью утилиты AVZ разблокировал запуск антивируса, редактора реестра, диспетчер задач. Восстановил вкладку "Восстановление системы". Но некоторые сомнения все еще присутствуют. Прилагаю сделанные по Правилам логи.
-
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\ODBCINST.INI:ax+coB','');
DeleteFile('C:\WINDOWS\ODBCINST.INI:ax+coB');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Выполните второй скрипт
[code]Procedure DelAppInit_DLLsByFileName(Name : string);
var
AppInit_DLLs: string;
i, j, c, s: integer;
endSearch, found: boolean;
begin
if Name = '' then
exit;
AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
endSearch := false;
while not endSearch do
begin
found := false;
for i := 1 to length(AppInit_DLLs) do
begin
s := 0;
c := i;
for j := 1 to length(Name) do
if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
begin
s := s + 1;
if s = length(Name) then
begin
if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0))
or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
begin
found := true;
Delete(AppInit_DLLs, i, length(Name));
end;
end;
c := c + 1;
end
else
break;
if found then
break;
end;
if not found then
endSearch := true;
end;
i := 1;
while i < length(AppInit_DLLs) do
begin
if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
begin
Delete(AppInit_DLLs, i, 1);
i := i - 1;
end;
i := i + 1;
end;
if copy(AppInit_DLLs, 1, 1) = ',' then
Delete(AppInit_DLLs, 1, 1);
if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
AppInit_DLLs := Trim(AppInit_DLLs);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
end;
begin
DelAppInit_DLLsByFileName('Name');
end.[/code]
Закачайте карантин по красной ссылке вверху. Лог virusinfo_syscheck повторите
-
Скрипты выполнил. Лог прилагаю.
П.с. Карантин пустой
-
Выполните скрипт
[code]Procedure DelAppInit_DLLsByFileName(Name : string);
var
AppInit_DLLs: string;
i, j, c, s: integer;
endSearch, found: boolean;
begin
if Name = '' then
exit;
AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
endSearch := false;
while not endSearch do
begin
found := false;
for i := 1 to length(AppInit_DLLs) do
begin
s := 0;
c := i;
for j := 1 to length(Name) do
if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
begin
s := s + 1;
if s = length(Name) then
begin
if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0))
or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
begin
found := true;
Delete(AppInit_DLLs, i, length(Name));
end;
end;
c := c + 1;
end
else
break;
if found then
break;
end;
if not found then
endSearch := true;
end;
i := 1;
while i < length(AppInit_DLLs) do
begin
if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
begin
Delete(AppInit_DLLs, i, 1);
i := i - 1;
end;
i := i + 1;
end;
if copy(AppInit_DLLs, 1, 1) = ',' then
Delete(AppInit_DLLs, 1, 1);
if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
AppInit_DLLs := Trim(AppInit_DLLs);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
end;
begin
DelAppInit_DLLsByFileName('ODBCINST.INI:ax+coB');
end.[/code]
Лог повторите
-
Скрипт выполнил. Лог прилагаю
-
Чисто. Какие - то проблемы на компьютере наблюдаются?
-
Есть потери при пинге до любых ресурсов (около 4-6%). На другом компьютере, разумеется подключенном к этому же кабелю, проблема не наблюдается...
Не знаю, было ли так до вирусной атаки..
-
Не думаю, что эта проблема связана с заражением.
Page generated in 0.00106 seconds with 10 queries