Здраствуйте:rolleyes:. Проверел свой комп вашими прогами, вот что нашел:huh:. Помогите мне пожалусто. Заранее очень благодарен:rolleyes:
Printable View
Здраствуйте:rolleyes:. Проверел свой комп вашими прогами, вот что нашел:huh:. Помогите мне пожалусто. Заранее очень благодарен:rolleyes:
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\esonopress Shared\Service\Licence Manager SON.exe','');
QuarantineFile('C:\WINDOWS\system32\RGWIE.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\iwgtihhn.dat','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\opt2\Local Settings\Temporary Internet Files\Content.IE5\KRZ328T1\PopularScreenSaversFWBInitialSetup1.0.0.15-3[1].cab','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iwgtihhn.dat','');
DeleteFile('C:\Documents and Settings\opt2\Local Settings\Temporary Internet Files\Content.IE5\KRZ328T1\PopularScreenSaversFWBInitialSetup1.0.0.15-3[1].cab');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\RGWIE.dll');
DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16594[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Повторите логи
Большое Спасибо akok за быстрый ответ! После выполнение скрипта стали открываться скрытые файлы и логические диски. Спс еще раз)) Карантин выслал логи прилогаються.
Поищите с помощью AVZ такой файл [b]m1t8ta.com[/b]
Извините, а как это сделать (поискать файл), обясните пожалусто или скинте сылку.
C:\WINDOWS\system32\drivers\iwgtihhn.dat - [b]Rootkit.Win32.Agent.tw[/b]
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('boennsex', 4);
StopService('boennsex');
DeleteService('boennsex');
QuarantineFile('C:\WINDOWS\system32\Drivers\iwgtihhn.dat','');
DeleteFile('C:\WINDOWS\system32\Drivers\iwgtihhn.dat');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Да повторите логи посмотрим не пряталось ли чего за Rootkit
вот все что просили:xmas:
[QUOTE=Sklad;174324]Извините, а как это сделать (поискать файл), обясните пожалусто или скинте сылку.[/QUOTE]
avz-сервис-поиск файла на диске..
копируете имя и пуск;)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYRU[/CODE]
Поиск файлов по маске m1t8ta.com
Поиск файлов завершен
Просмотрено 68230, найдено 0
Все, осталось только мусор профиксить:) (пост №8 )
Какие проблемы еще остались?
Уважаемый!Еще вопросик, после всех вышеуказанных действий захожу на диск Д, а там весят(скрытые) вот эти гады: d.com; juok3st.bat;u.bat. Вопрос: с ними надо чё нить делать?
заархивировать с паролем virus, и отправить туда - [url]http://virusinfo.info/upload_virus.php?tid=16594[/url]
Удалять не глядя и не запуская...со всех локальных дисков
Пройдитесь поиском AVZ по этим именам и удалите
Осторожно с флешками....
[code]procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
begin
DisableAutorun;
end.[/code]
Это отключит автозагрузку со всех носителей кроме CD...
P>S> Если будете открывать через Мой Компьтер осторожно, по двойному нажатию срабатывает авторан, все равно. Лучше удалалять через файл менеджер
1)А как это выполнить:blink: тоже через AVZ:cool:
[code]procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
begin
DisableAutorun;
end.[/code]
2) До этого я писал про диск Д а вот как выглядет мой С:smile: что из этого тоже почикать
[b] nohp.exe[/b] заархивировать с паролем virus, и отправить сюда - [url]http://virusinfo.info/upload_virus.php?tid=16594[/url]
Конечно все скрипты в AVZ :)
Вирус выслал(в архиве). А после скрипта (пост14) засунул флеху и она у меня даже не стала делать запрос что делать а сразу открылась))) благо была чистая))
nohp.exe [B]TR/PCK.PolyCrypt.D.139[/B]
Извините это что:huh: и куда это девать:xmas:
выполните поиск файла nohp.exe при помощи авз и удалите ... если не получится ... дайте полный путь к файлу ... напишем скрипт ...
Все удалилось!)) Огромное спасибо!!!