Здравствуйте!
У вас на форуме уже была тема об этом вирусе. При лечении комп уходит в перезагрузку. Но естественно, случай уникален и скрипты из похожей темы не подходят. Надеюсь на вашу помощь, спасибо.
:)
Printable View
Здравствуйте!
У вас на форуме уже была тема об этом вирусе. При лечении комп уходит в перезагрузку. Но естественно, случай уникален и скрипты из похожей темы не подходят. Надеюсь на вашу помощь, спасибо.
:)
virusinfo_cure.zip - удалите из темы!!!!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
приложите - virusinfo_syscheck.zip
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{332A3FE8-529B-47CB-A885-C1DBFA427E1A}');
QuarantineFile('C:\Documents and Settings\CCBUser\Application Data\msmedia.dll','');
DeleteFile('C:\Documents and Settings\CCBUser\Application Data\msmedia.dll');
QuarantineFile('C:\WINDOWS\system32\win32extension.dll','');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
логи сделайте в нормальном режиме
я выполнила скрипты и добавила логи согласно правил
Personal Security - программу устанавливали?
Если да, то удалите её.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Personal Security не удаляется. Выскакивает запрос на активацию, блокируется раб.стол
1.запустите Диспетчер задач. Откройте вкладку процессы и выберите процесс [B]psecurity.exe. [/B]
После этого кликните по кнопке Завершить процесс и подтвердите свои действия выбрав ДА.
Закройте Диспетчер задач.
2. Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
3. лог прикрепите к сообщению
я удалила саму программу из автозагрузки, тоесть в задачах ее нет
Только в Установке программ, и при попытке ее удаления все вешается
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
-лог прикрепите к сообщению
сделала
1.профиксить в MBAM
[CODE]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6551001f-a07b-40b1-8f55-b44bf35a42a6} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6551001f-a07b-40b1-8f55-b44bf35a42a6} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6551001f-a07b-40b1-8f55-b44bf35a42a6} (Trojan.FakeAlert) -> No action taken.
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\CCBUser\Desktop\Personal Security.lnk ','');
DeleteFile('C:\Documents and Settings\CCBUser\Desktop\Personal Security.lnk ');
QuarantineFile('C:\WINDOWS\system32\win32extension.dll','');
DeleteFile('C:\WINDOWS\system32\win32extension.dll');
DeleteFileMask('c:\Program Files\PSecurity', '*.*', true);
DeleteDirectory('c:\Program Files\PSecurity');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PSecurity');
RegKeyParamDel('HKEY_CLASSES_ROOT','CLSID','{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.0\User Agent\post platform','WinTSI 01.12.2009');
DelBHO('{6551001F-A07B-40B1-8F55-B44BF35A42A6}');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные лог virusinfo_syscheck.zip;
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
скачайте вот такую программку [URL="http://www.filehippo.com/download_ccleaner/download/ed2b2b859416fd7fbddc2c0157c6c85e/"]CCleaner[/URL]
почитать можно [URL="http://virusinfo.info/showpost.php?p=436397&postcount=5"]тут[/URL]
после установки CCleaner
нажать=> Реестр(слева)=>поиск проблем=>после окончания поиска=>исправить..
[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]
отпишитесь
Спасибо!
Значит так, по порядку :), MBAM пофиксила, авз скрипты выполнила, CCCleaner -ом почистила. Только програмка Personal Security все равно осталась и не удалялась стандартными средствами. Удалось удалить ее только через TotalUninstall. Новый лог прилагаю. Надеюсь, в системе уже ничего подозрительного не осталось.?
в логе чисто
вот это
[QUOTE]Internet Explorer v6.00 SP2
Windows XP SP2[/QUOTE]
- надо срочно обновить
Необходимо :
- SP2 обновить до Service Pack 3(может потребоваться активация)
- поставить все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установить Internet-Explorer 8.(даже если Вы его не используете)
поняла. спасибо большое!!!
Пожалуйста
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.440, AVAST4: Win32:Patched-KP [Trj] )[*] c:\windows\system32\win32extension.dll - [B]Trojan.Win32.FraudPack.anuv[/B] ( DrWEB: Trojan.Packed.19697 )[/LIST][/LIST]