На Компе завелся порно баннер.
Помогите убрать, зарание спасибо.
PS Все логи были сделанны в безопастном режиме.
Printable View
На Компе завелся порно баннер.
Помогите убрать, зарание спасибо.
PS Все логи были сделанны в безопастном режиме.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059396.com','');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059394.com','');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059177.com','');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059175.com','');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059122.com','');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059030.com','');
QuarantineFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059028.com','');
QuarantineFile('c:\Temp\espEA82.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\Xk1KAlh.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\JcLSRvi.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\Documents and Settings\s44.SYSTEM\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
DeleteFile('C:\Documents and Settings\s44.SYSTEM\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('\\?\globalroot\systemroot\system32\JcLSRvi.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Xk1KAlh.exe');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059028.com');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059030.com');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059122.com');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059124.com');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059175.com');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059394.com');
DeleteFile('C:\System Volume Information\_restore{6D7BF092-A1C0-4658-B946-C5282AAD2D55}\RP108\A0059396.com');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)