Обнаружил что нет доступа к сайтам антивирусов, хотя винда обновляется и microsoft security essentials в том числе. Сюда смог попасть только через прокси и обновить AVZ смог только прописав прокси в IE. Вот логи.
Printable View
Обнаружил что нет доступа к сайтам антивирусов, хотя винда обновляется и microsoft security essentials в том числе. Сюда смог попасть только через прокси и обновить AVZ смог только прописав прокси в IE. Вот логи.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\esp774A.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\mAH5P3O.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\i3vMMRm.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\IJ8yWmt.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\H4KvLUm.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\CBfL30R.exe','');
QuarantineFile('c:\windows\system32\mAH5P3O.exe','');
QuarantineFile('c:\windows\system32\i3vMMRm.exe','');
QuarantineFile('c:\windows\system32\IJ8yWmt.exe','');
QuarantineFile('c:\windows\system32\H4KvLUm.exe','');
QuarantineFile('c:\windows\system32\CBfL30R.exe','');
DeleteFile('c:\windows\system32\mAH5P3O.exe');
DeleteFile('c:\windows\system32\i3vMMRm.exe');
DeleteFile('c:\windows\system32\IJ8yWmt.exe');
DeleteFile('c:\windows\system32\H4KvLUm.exe');
DeleteFile('c:\windows\system32\CBfL30R.exe');
DeleteFile('\\?\globalroot\systemroot\system32\CBfL30R.exe');
DeleteFile('\\?\globalroot\systemroot\system32\H4KvLUm.exe');
DeleteFile('\\?\globalroot\systemroot\system32\IJ8yWmt.exe');
DeleteFile('\\?\globalroot\systemroot\system32\i3vMMRm.exe');
DeleteFile('\\?\globalroot\systemroot\system32\mAH5P3O.exe');
DeleteFile('C:\WINDOWS\TEMP\esp774A.tmp');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RegSearch('HKLM', '', 'esp774A');
SaveLog(GetAVZDirectory + 'avz.log');
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
Файл avz.log из папки с AVZ прикрепите.
А также
Выполните скрипт
[CODE]var ListRegSearch : TStringList;
i : Integer;
FileName, RegKeyName : string;
begin
ClearLog;
FileName:= 'c:\avz00.log';
RegSearch('HKLM', '', 'esp774A.tmp');
SaveLog(FileName);
ClearLog;
ListRegSearch:= TStringList.Create;
ListRegSearch.LoadFromFile(FileName);
AddToLog('Найдено записей: ' + IntToStr(ListRegSearch.Count));
for i:= 0 to ListRegSearch.Count - 1 do
begin
RegKeyName:= ListRegSearch.Strings[i];
AddToLog('Обработка: ' + RegKeyName);
if Pos('\esp', RegKeyName) > 0 then
begin
Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1);
Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName));
RegKeyDel('HKLM', RegKeyName);
AddToLog('Удален ключ реестра HKLM\' + RegKeyName);
end;
end;
ListRegSearch.Free;
SaveLog('c:\avz01.log');
end.[/CODE]
Файлы [B]c:\avz00.log[/B] и [B]c:\avz01.log[/B] прикрепите к сообщению
Выполнил все скрипты, вот запрошенные файлы.
Вот новые логи.
Что с проблемой?
Всё работает отлично. Спасибо за помощь. Тему можно закрывать.
[B]Смените все пароли[/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]