Ниче не пойму((

Printable View

Показывать 40 сообщений этой темы на одной странице

10.09.2010, 22:56
weryngton

Ниче не пойму((

Камп как бэ загружен вирами но кюреит не находит странно это
помогите с вирусами!
И если можно то почему то после востановления sfc /scannow видеоадаптер перестал работать ошибка оборудования 10
Ati mobile radion x2300
и еще когда я это писал у меня забажило и писало test много раз подряд!!!
10.09.2010, 23:28
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8591210154-2788203155-043923980-6941\yv8g67.exe,C:\Documents and Settings\wery\Application Data\lbisov.exe,explorer.exe,C:\Documents and Settings\wery\Application Data\ozzfhv.exe','');
QuarantineFile('SwPrv.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8591210154-2788203155-043923980-6941\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\wery\Application Data\lbisov.exe,explorer.exe','');
QuarantineFile('C:\Documents and Settings\wery\Application Data\ozzfhv.exe','');
QuarantineFile('C:\Documents and Settings\wery\Application Data\lbisov.exe','');
DeleteService('srservice');
QuarantineFile('srservice.sys','');
StopService('COMSysApp');
QuarantineFile('COMSysApp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys','');
QuarantineFile('c:\windows\temp\wpv111283850910.exe','');
TerminateProcessByName('c:\windows\temp\wpv111283850910.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\temp\wpv111283850910.exe');
DeleteFile('srservice.sys');
BC_DeleteSvc('srservice');
DeleteFile('SwPrv.sys');
BC_DeleteSvc('SwPrv');
DeleteFile('C:\RECYCLER\S-1-5-21-8591210154-2788203155-043923980-6941\yv8g67.exe');
DeleteFile('C:\Documents and Settings\wery\Application Data\lbisov.exe');
DeleteFile('C:\Documents and Settings\wery\Application Data\lbisov.exe,explorer.exe');
DeleteFile('C:\Documents and Settings\wery\Application Data\ozzfhv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8591210154-2788203155-043923980-6941\yv8g67.exe,C:\Documents and Settings\wery\Application Data\lbisov.exe,explorer.exe,C:\Documents and Settings\wery\Application Data\ozzfhv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
QuarantineFileF('%system32%', '*.exe', false,'', 0, 0, '10.07.2010', '10.09.2010');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
10.09.2010, 23:33
weryngton

в 23 : 00 сделаю тошо покаместь пк не хочет отрубать востановление!!
10.09.2010, 23:35
миднайт

Если восстановление системы не удастся отключить, то пропустите этот пункт.
10.09.2010, 23:43
weryngton

оке))

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Результат загрузки
Файл сохранён как 100910_234240_quarantine_4c8a8a301fd25.zip
Размер файла 253328
MD5 f96375a5494586b96abf40da07f0df40
Файл закачан, спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

закачал
11.09.2010, 00:58
миднайт

Логи повторите.
11.09.2010, 18:43
weryngton

djm
11.09.2010, 22:56
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
12.09.2010, 03:23
weryngton

вот малваре
12.09.2010, 12:09
миднайт

Удалите в MBAM:

[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.

C:\WINDOWS\explorer.exe:userini.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\wery\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\Temp\wpv081283851714.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv631283851915.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv801283851883.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv811283851628.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv841284198104.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv971283851669.exe (Trojan.Agent) -> No action taken.
[/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите[/url] темп-папки, кэш проводников, cookies и корзину.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
12.09.2010, 14:17
weryngton

вот
12.09.2010, 15:34
thyrex

[QUOTE='миднайт;704955']Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.[/QUOTE]Сделали?
12.09.2010, 19:06
weryngton

да сделал) прост вначале не понял че сделать над)
всё что было указано сделал
также в реестре почиистил userini.exe думаю это удалит его
12.09.2010, 20:39
миднайт

Повторите лог MBAM для контроля.
12.09.2010, 21:15
weryngton

щас сканит
12.09.2010, 22:14
weryngton

jn
12.09.2010, 22:20
Никита Соловьев

удалите: Зараженные файлы:
[CODE]C:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.[/CODE]

сделайте новый лог МВАМ
12.09.2010, 22:32
weryngton

elfkb
удалил
12.09.2010, 22:37
Никита Соловьев

[QUOTE='Venus Doom;705208']сделайте новый лог МВАМ [/QUOTE]Сделайте
14.09.2010, 14:45
weryngton

делал и выкладывал он че то не дошол!!!

Показывать 40 сообщений этой темы на одной странице