Printable View
Добрый вечер!
Недельки две назад обнаружила у себя в трее значёк System Alert! при нажати на который он отправлял тебя на сайт где предлогалось купить чудо-антивирус. С трея он уходить не хочет, как я не пыталась его от туда вытурить и всё бы ничего, не очень сильно он меня и беспокоил, НО! сегодня я обнаружила это [URL]http://virusinfo.info/showthread.php?t=7602[/URL]
Вообщем подозреваю что у меня та же беда!
Заранее благодарю!
Не паникуйте! Сейчас я посмотрю Ваши логи.
Я пока и не паникую.:)
Спасибо!
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hjpprpu.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uzi5oday.sys','');
QuarantineFile('C:\WINDOWS\system32\brsvc01a.exe','');
DeleteFile('C:\WINDOWS\system32\hjpprpu.dll');
DeleteFile('C:\WINDOWS\system32\brsvc01a.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2
пофиксите в HijackThis
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - [url]http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab[/url]
Выполните скрипт в AVZ [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('V3FAXMON.DLL','');
QuarantineFile('APFMON40.DLL','');
QuarantineFile('\SystemRoot\system32\DRIVERS\lirsgt.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\atksgt.sys','');
QuarantineFile('C:\WINDOWS\system32\hjpprpu.dll','');
DeleteFile('C:\WINDOWS\system32\hjpprpu.dll');
DeleteFile('\SystemRoot\system32\DRIVERS\atksgt.sys');
DeleteFile('\SystemRoot\system32\DRIVERS\lirsgt.sys');
RebootWindows(true);
end.[/CODE]
Потом после перезагрузке пофиксите в HijackThis
[CODE] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.lv;
O1 - Hosts: 213.21.225.82 www.bedevilquest.lv
O1 - Hosts: 213.21.225.82 webmail.bedevilquest.lv
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{861EAA42-83DB-4B37-B7AA-3BBDAD15BD20}: NameServer = 213.182.207.7,195.216.160.130
[/CODE]
Файлы из папки Quarantine - сегодняшнее число пришлите нам по правилам форума
Ну у нас получились примерно одинаковые скрипты... Только Ego1st меня опередил на 2 минуты :)
Теперь я буду знать, когда [B]Ego1st[/B] на форуме мне делать тут не чего ;)
Ок!Сейчас всё сделаю!Спасибо за оперативность, только у меня вопрос, чем Вам это не понравилось :
O1 - Hosts: 213.21.225.82 [url]www.bedevilquest.lv[/url]
O1 - Hosts: 213.21.225.82 webmail.bedevilquest.lv
если сами ставили значить всё нормально..
Всё сделала, файлы Вам отправила!
Сейчас посмотрю я Ваши файлы.
Новые логи :
Значёк System Alert! ликвидирован!:) :) :)
[IMG]http://img264.imageshack.us/img264/4457/22spabolsoebq5.jpg[/IMG]
А почему в карантине нет atksgt.sys и lirsgt.sys?
Прошу прощения!
Уже отослала!:)