Printable View
Windows был заблокирован и во весь рабочий стол при загрузке выскакивал банер. Банер удалось убить с помощью DrWeb CureIT. Антивирус нашел изрядное количество зараженных файлов и полечил их. Есть веские основания полагать что зараза еще сидит в недрах ОС и ждет своего часа. Логи прикладываю.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\arkrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\msx10.dll','');
QuarantineFile('C:\Documents and Settings\Loner\200567115\200567115.EXE','');
DeleteFile('C:\Documents and Settings\Loner\200567115\200567115.EXE');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZDF200567115200567115200567115aAdsWrtenbvbnb__0ZDF200567115_2005671150');
DeleteFile('C:\WINDOWS\arkrnl.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
Карантин прислал. Новую порцию логов выкладываю.
[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
[/CODE]
В остальном подозрительного нет.
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Указанные записи пофиксил. В AVZ предложенный скрипт выполнил, обнаружилось около 10 пропущенных обновлений. Все поставил. Все чудесно работает. Огромное спасибо за помощь!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\arkrnl.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Siggen2.16741, BitDefender: Trojan.Generic.5420312, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\xuqufie.dll - [B]Backdoor.Win32.Agent.blkk[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6277910, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]