Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Printable View
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
При повторной проверке AVZ с помощью устранения проблем "подмена диспетчера задач" была устранена.
В приложении полный образ автозапуска uVS
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
; C:\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\APPLICATION DATA\UPDATE\MSUPDATE.EXE
addsgn 1AA3359A5583348CF42B627DA804DEC9E946307DCDDE17F3C9E7D5B7985D3D682F62CADC7A7199BECA42949F15E1A871A554AC565D2DD40839747CA483222A84 8 Backdoor.Win32.Androm.fzqr [Kaspersky]
; C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\UPDATE\MSUPDATE.EXE
addsgn 1A116B9A5583348CF42B254E3143FE53DABF9008C9FA944DC56285BCAF00F48C5736623FC0159DCAD37FF08816E97C96839FE88D832560A9ED03ACA447FE2373 8 Trojan.Win32.Bublik.cvwu [Kaspersky]
delall %Sys32%\SVCHOST.EXE:EXE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE.NT AUTHORITY\APPLICATION DATA\UPDATE\MSUPDATE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\UPDATE\MSUPDATE.EXE
delref %Sys32%\IEIY3YDB9YO3R.EXE
delref %Sys32%\AMVO.EXE
chklst
delvir
deltmp
delref %Sys32%\DRIVERS\ZHNINNQX.SYS
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ДОМ\APPLICATION DATA\UPDATE\MSUPDATE.EXE
delref UTHORITY\APPLICATION DATA\UPDATE\MSUPDATE.EXE
czoo
restart[/code]Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS, если не влезет во вложения - загрузите на rghost.ru и дайте ссылку в теме.
Архива ZOO не было, была папка ZOO, которая была за архивирована и отправлена.
Ссылка на образ [url]http://rghost.ru/60508244[/url]
Чисто.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\дом\application data\c731200 - [B]Worm.Win32.Ngrbot.akwt[/B] ( AVAST4: Win32:Ransom-AVK [Trj] )[*] c:\documents and settings\дом\application data\microsoft\windows\mgagas.exe - [B]Worm.Win32.Ngrbot.aktc[/B] ( AVAST4: Win32:Malware-gen )[*] c:\documents and settings\дом\application data\update\explorer.exe - [B]Worm.Win32.Ngrbot.akwt[/B] ( AVAST4: Win32:Ransom-AVK [Trj] )[*] c:\documents and settings\дом\application data\update\msupdate.exe - [B]Backdoor.Win32.Androm.fzqr[/B] ( AVAST4: Win32:CryptoWall-I [Trj] )[*] c:\documents and settings\дом\application data\update\swpxdxhamv.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-186176712\dv54rhbn8r.exe - [B]Trojan-Dropper.Win32.Dycler.thl[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-186176712\dv54rh7bn8r.exe - [B]Trojan-Dropper.Win32.Dycler.thk[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\hiexls89.exe - [B]Trojan-Dropper.Win32.Dycler.thm[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds2.exe - [B]Trojan-Dropper.Win32.Dycler.the[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds3.exe - [B]Trojan-Dropper.Win32.Dycler.thf[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds4.exe - [B]Trojan-Dropper.Win32.Dycler.thh[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds5.exe - [B]Trojan-Dropper.Win32.Dycler.thd[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds6.exe - [B]Trojan-Dropper.Win32.Dycler.thg[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] c:\ecfpyqehh\s-1-5-21-0243556031-888888379-781862338-1861771\winsds7.exe - [B]Trojan-Dropper.Win32.Dycler.thb[/B] ( AVAST4: Win32:CryptoWall-J [Trj] )[*] \zoo\msupdate.exe._d781f1d3ee915587dff62537a23d86845a408924 - [B]Backdoor.Win32.Androm.fzqr[/B] ( AVAST4: Win32:CryptoWall-I [Trj] )[*] \zoo\msupdate.exe._1ac310723b14789c236ffaf8babf2fb18e01462a - [B]Trojan.Win32.Bublik.cvwu[/B] ( DrWEB: Trojan.Packed.29370, AVAST4: Win32:Dropper-gen [Drp] )[/LIST][/LIST]