-
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\843E~1\AppData\Local\Temp\KB00393746.exe','');
QuarantineFile('C:\Users\843E~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\ntibcpsaq.exe','');
QuarantineFile('C:\PROGRA~2\msrhlmf.exe','');
DeleteFile('C:\PROGRA~2\msrhlmf.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','3626444561');
DeleteFile('C:\ProgramData\CreativeAudio\ntibcpsaq.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
DeleteFile('C:\Users\843E~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Users\843E~1\AppData\Local\Temp\KB00393746.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSfCnt');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorpo-rated');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
-
Ошибка: ';' expected в позиции 15:13 при выполнении скрипта
-
-
-
[quote="thyrex;1161618"]Сделайте новые логи[/quote]
где?
+ Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2014-04-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL][/URL].
-
Вложений: 2
Извините, забыл.
MBAM не сканирует - программа крашается при попытке сканирования..
-
[list][*]Скачайте [b][url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url][/b] (uVS)[*]Извлеките uVS из [i]архива[/i] или из [i]zip-папки[/i]. Откройте папку с UVS и запустите файл [b]start.exe[/b]. В открывшимся окне выберите пункт [b]"Запустить под текущим пользователем"[/b].[*]Выберите меню [b]"Файл"[/b] => [b]"Сохранить полный образ автозапуска"[/b]. Программа предложит вам указать место сохранения лога в формате [b]"имя_компьютера_дата_сканирования"[/b]. Лог необходимо сохранить на рабочем столе.
[indent][size=1][b]!!!Внимание.[/b] Если у вас установлены архиваторы [b]WinRAR[/b] или [b]7-Zip[/b], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/size][/indent][*]Дождитесь окончания работы программы, выложите лог на rghost.ru и пришлите ссылку.
[indent][size=1][b]!!! Обратите внимание[/b], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]"Да"[/b].[/size][/indent][*][/list]
-
[url]http://rghost.ru/58123835[/url]
Только после перезагрузки получилось сохранить образ, до этого при сохранении программа закрывалась.
-
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO
addsgn 1A41239A5583528CF42B627DA804DE86C98621E2AD12F22F85C32DB150D671CFE71B00DA6A7199A1B3D7849F148D90C65954AC5659AEE14AAC4B8050C572279B 8 Backdoor.Win32.Ruskill.zau [Kaspersky]
zoo %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\IDENTITIES\XZVYVV.EXE
bl E1E557472E852CA8F0062785D4D65BCE 229376
zoo %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
bl C9BFF14141A953F9A5F88BE3DBC530B0 207872
bl B01A306868E020EB012678F6E6B6D7CD 207872
bl 6856E96DE5D4E10ED2248B634FC0DA37 207360
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16814\BBBE8X167.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16814\BBBE8X167.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-168124\BBBE8X267.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-168124\BBBE8X267.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1681324\BBBE8X367.EXE
bl 451A35FC060612C2003B88C254D878B9 207872
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1681324\BBBE8X367.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16841324\BBBE8X467.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16841324\BBBE8X467.EXE
zoo %SystemDrive%\PROGRAMDATA\MSRHLMF.EXE
bl 01FC6547503E28F685F77518F06C0D2F 220672
delall %SystemDrive%\PROGRAMDATA\MSRHLMF.EXE
delall %SystemDrive%\USERS\843E~1\APPDATA\LOCAL\TEMP\RJRWZMZISDX.EXE
zoo MWVAZTYBTU.EXE
delall MWVAZTYBTU.EXE
zoo %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\SKSKJBPJX.EXE
bl 2717EE99C8D55F10DB1EFF0239CC5CF9 422400
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\SKSKJBPJX.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\BT PROGRAM\УСТРОЙСТВА BLUETOOTH.LNK
chklst
delvir
czoo
restart[/CODE]
сделайте свежий образ автозапуска.
-
Карантин и образ
[url]http://rghost.ru/58127312[/url]
-
Карантин нужно было отправить по красной ссылке
-
Так и сделал. Карантин по ссылке, образ на rghost. Проверьте, пожалуйста.
-
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
zoo %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\TEMP\KB15796661.EXE
bl 437A1E77D6DF59B4844559997513902A 246272
delall %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\TEMP\KB15796661.EXE
zoo %SystemDrive%\PROGRAMDATA\MSRHLMF.EXE
bl 187B4BC9E764FAB89DB1CA7302BCA271 237568
delall %SystemDrive%\PROGRAMDATA\MSRHLMF.EXE
zoo %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\TEMP\KB00584520.EXE
delall %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\TEMP\KB00584520.EXE
delall %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\IDENTITIES\XZVYVV.EXE
deltmp
czoo
restart[/CODE]
сделайте новый образ автозапуска.
и попытайтесь снова сделать лог MBAM
-
Вложений: 1
Образ [url]http://rghost.ru/58143011[/url]
и долгожданный MBAM!:D
-
1) [url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url] (рекомендую воспользоваться способом удаления через OTCleanIt).
2) Удалите в MBAM всё найденное.
3) [url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1683441\B56637.EXE
bl EA42220BE519CC9067E60643E51AC143 241152
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1683441\B56637.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-168441\B5667.EXE
bl 81AB14428F39D8BF4B4DA4F2F4EEDB17 241152
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-168441\B5667.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16833441\B5Y337.EXE
bl 7AE5279A31B1C652527EAB6A5AB4292A 241664
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16833441\B5Y337.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-168333441\B5Y3374.EXE
bl 4ACA42961AE5798A1563939E991A6FD2 241664
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-168333441\B5Y3374.EXE
zoo %SystemDrive%\PROGRAMDATA\MSRHLMF.EXE
bl 187B4BC9E764FAB89DB1CA7302BCA271 237568
delall %SystemDrive%\PROGRAMDATA\MSRHLMF.EXE
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\SKSKJBPJX.EXE
czoo
restart[/CODE]
4) [LIST=1][*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]
adddir %SystemDrive%\НИКИТА\AppData\Roaming\
adddir %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]
-
Карантин не появился, папка ZOO пуста. Случайно образ отправил через кнопку "Прислать запрошенный карантин"..вложение не могу его сделать, места в менеджере вложений не хватает и вылазит ошибка..
-
[quote="Ivan_irk;1162572"].вложение не могу его сделать, места в менеджере вложений не хватает и вылазит ошибка..[/quote]
загрузите на [url]http://rghost.ru/[/url] и оставьте ссылку.
-
Точняк.
[url]http://rghost.ru/58164193[/url]
-
Выполните скрипт uVS
[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
delall %SystemDrive%\USERS\НИКИТА\APPDATA\ROAMING\IDENTITIES\XZVYVV.EXE
delall %SystemDrive%\USERS\843E~1\APPDATA\LOCAL\TEMP\KB98509405.EXE
restart[/CODE]
сделайте свежий лог MBAM.
отпишитесь, что с проблемой?
-
Вложений: 1
Проблема вроде решена!:)
Единственное с брандмауэром что-то. Прилагаю фото по ссылке на rghost: [url]http://rghost.ru/58190354[/url]
И можете рассказать немного, что за проблема была и как больше не столкнуться с ней?)
Page generated in 0.01339 seconds with 10 queries