[ATTACH]276228[/ATTACH]
Printable View
[ATTACH]276228[/ATTACH]
Вроде бы получилось реанимировать АВЗ с помощью комбофикса вот этим скриптом
[CODE]KillAll::
File::
c:\program files\Def Group\PC Defender\pcdef.exe
c:\windows\system32\8c78f2ce.exe
c:\windows\system32\9879533b.exe
c:\windows\system32\nctlnp.exe
Driver::
NetSvc::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::
DirLook::[/CODE]
Не посмотрите логи АВЗ?
[ATTACH]276256[/ATTACH]
[ATTACH]276257[/ATTACH]
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\8C46~1\LOCALS~1\Temp\mbr.sys','');
DeleteFile('C:\DOCUME~1\8C46~1\LOCALS~1\Temp\mbr.sys');
DeleteFileMask('c:\program files\Def Group', '*.*', true);
DeleteDirectory('c:\program files\Def Group');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
[ATTACH]276287[/ATTACH]
[ATTACH]276288[/ATTACH]
[ATTACH]276289[/ATTACH]
[QUOTE='polword;718817']- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы[/QUOTE]
Выполните!
Удалите [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]в mbam[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{93781a22-304b-45ba-9631-4bbe717db074} (Rogue.PCDefender) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer.Gen) -> No action taken.
Зараженные папки:
C:\WINDOWS\Installer\{93781A22-304B-45BA-9631-4BBE717DB074} (Rogue.PCDefender) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\папа\Рабочий стол\avz4\Quarantine\2010-09-27\avz00001.dta (Rogue.PCDefender) -> No action taken.
C:\Qoobox\Quarantine\C\systemhost.exe\systemhost.exe.vir (Backdoor.Bot.Gen) -> No action taken.
C:\WINDOWS\system32\440aa352.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\wqrm.cto (Trojan.Dropper.Gen) -> No action taken.
C:\WINDOWS\Installer\{93781A22-304B-45BA-9631-4BBE717DB074}\_5F5960446096246E9466E0.exe (Rogue.PCDefender) -> No action taken.
C:\WINDOWS\Installer\{93781A22-304B-45BA-9631-4BBE717DB074}\_8F500E4A1914859470D843.exe (Rogue.PCDefender) -> No action taken.
[/CODE]
[QUOTE]- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы[/QUOTE]
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
в mbam
удалил все выше перечисленное
Обновите Internet Explorer до [B]8[/B] версии, даже, если Вы не используете его, как браузер. Также обновите продукты Adobe Reader и Java до актуальных версий
Спасибо большое
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]