Printable View
После Заразы перестал открываться ИЕ, заразы было много и разной, лечил AVPTool и SpybotSD. ИЕ пробовал переставлять, не помогло. При попытки открыть он появляется в Диспетчере задач в процессах и тут же умирает, ошибок не выдает, видимых окон не показывает.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\2d3c631b.exe','');
DeleteFile('C:\WINDOWS\system32\2d3c631b.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
А также
Пофиксите в HiJack
[CODE]O9 - Extra button: (no name) - DctMapping - (no file)
O20 - AppInit_DLLs: winmm.dll[/CODE]
Скрипты выпонил, в каротин прикрепить не мог ответ системы "Ошибка загрузки. Данный файл уже был загружен", наверно так как он пустой весит 26 байт. Пофиксил. Логи повторил, MBAM сделал.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL] -
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
[/CODE]
Выполните скрипт в АВЗ -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\All Users\IEXPLORE.EXE','');
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Удалил. Скрипт выполнил. При загрузки карантина та же картина, размер тот же.
Возникли подозрения, переименовал папку, повторил последних 2 скрипта карантин получился загрузил.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
QuarantineFile('C:\Documents and Settings\All Users\*.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\*.dll','');
end.[/code]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
Пишет что скрипт выполнен без ошибок. Карантин пуст. А в логах при выполнения скрипта пишет с начало 4 ошибки "Ошибка карантина файла, попытка прямого чтения...", потом 11 "Выполнен карантин файла .....".
Всем спасибо, сам разобрался.
Поделитесь как?
При установки в свойствах exe'шника выставлялось, что его надо запускать в режиме совместимости с 95-й. Вот только не понятно, почему после перестановки ИЕ эта настройка не пропадала.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]