Зоналарм не среагировал. Заблокировано большенство приложений, порнобаннер тоже присутствует. Касперовский сервис деактивации не помог.
Прошу о помощи. Заранее благодарен.
Printable View
Зоналарм не среагировал. Заблокировано большенство приложений, порнобаннер тоже присутствует. Касперовский сервис деактивации не помог.
Прошу о помощи. Заранее благодарен.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\tbta.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\CTSBLFX.SYS','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\COMMONFX.SYS','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\CTAUDFX.SYS','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\CTAUDFX.SYS','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\CTSBLFX.SYS','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\CTERFXFX.SYS','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\CTERFXFX.SYS','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS.0\system32\tbta.dll');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Пока трудно сказать, исчерпала себя проблема или нет.
сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
ComboFix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows.0\system32\oadqqp.dll
c:\windows.0\system32\wmamo.dll
c:\windows.0\system32\pzlw.dll
c:\windows.0\system32\t.dll
c:\windows.0\system32\mqxvlk.dll
c:\windows.0\system32\p.dll
c:\windows.0\system32\pcwej.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
ComboFix
плохого не видно
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix [/URL]
Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Пофиксите в HiJack
[CODE]O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)[/CODE]Больше ничего плохого
Премного благодарен.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\мои документы\borland studio projects\project1.exe - [B]Hoax.Win32.BadJoke.Delf.ec[/B][*] c:\docume~1\admin\locals~1\temp\svchost.exe - [B]Trojan-Proxy.Win32.Small.ahp[/B] ( AVAST4: Win32:Small-NMD [Trj] )[*] c:\windows.0\system32\tbta.dll - [B]Worm.Win32.NeKav.cx[/B] ( DrWEB: Trojan.Winlock.1769 )[/LIST][/LIST]