Вирус

Printable View

28.03.2011, 16:33
Loki3d

Вирус

Вирус с банером и СМС
загрузившись под Live CD нашел что изменена переменная Shell
Значение Explorer было изменено на путь до банера.
exe файл с банером я удалил. теперь он не запускается
но чтото продолжает блокировать запуск Regedit и продолжает изменять значение переменной Shell
Помогите пожалуйста
28.03.2011, 16:51
Nexus

[B]- Отключите восстановление системы![/B]

[url=http://virusinfo.info/showthread.php?t=4491]В HiJackThis пофиксите строки:[/url]
[code]F2 - REG:system.ini: Shell=C:\Program Files\Common Files\net frame\svhost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/code]

[url=http://virusinfo.info/showthread.php?t=7239]В AVZ выполните скрипт:[/url]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Common Files\net frame\svhost.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
DeleteService('UIUSys');
DeleteFile('C:\Program Files\Common Files\net frame\svhost.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
executerepair(16);
executerepair(17);
ExecuteWizard('TSW',2,2,true);
BC_DeleteSvc('UIUSys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Загрузите карантин согласно приложению 3 [url=http://virusinfo.info/pravila.html]правил помощи.[/url]

Повторите логи AVZ и HiJackThis.
29.03.2011, 09:31
Loki3d

Большое спасибо, после применения Скрипта Система заработала.
Карантин пустой, так что прислать нечего.
Спасибо еще раз.
29.03.2011, 10:17
Nexus

[QUOTE=Loki3d;778762]Большое спасибо, после применения Скрипта Система заработала.
Карантин пустой, так что прислать нечего.
Спасибо еще раз.[/QUOTE]
Почему логи не повторили? Нужно прикрепить новые.