порно баннер

Printable View

Показывать 40 сообщений этой темы на одной странице

25.05.2010, 23:40
MArtar

порно баннер

порно баннер 3381 M20111717386
при запуске любой антивирусной утилиты автоматом завершает сеанс,
в анлокерах коды не подходят.
логи сделать не могу только в безопасном режиме запустился хиджак
25.05.2010, 23:47
MArtar

gmer запустил в безопасном сканирует пока, потом combofix попробую
25.05.2010, 23:55
MArtar

лог гмер неполный правда комп заглючил
25.05.2010, 23:58
MArtar

комбо не запускается
26.05.2010, 00:00
thyrex

Скачайте [B]ERD Commander[/B], запишите образ на болванку и загрузитесь с созданного диска

Затем Пуск - Выполнить - [B]erdregedit[/B]

Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра напишите в своем сообщении
26.05.2010, 00:08
MArtar

дело в том что это нетбук и привода в нем нет, поэтому проблематично это осуществить в данный момент

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

можеь есть альтернатива
26.05.2010, 00:14
thyrex

Тогда звоните [url]http://virusinfo.info/showpost.php?p=639771&postcount=1[/url]
26.05.2010, 00:24
MArtar

а из логов хиджака и гмера ничего не видно?
26.05.2010, 00:30
thyrex

Боюсь, что простым поиском Вы этот файл не найдете - C:\WINDOWS\MedCtrOC.log:StWI1A
26.05.2010, 00:44
MArtar

а пофиксить никак его да?
26.05.2010, 00:46
thyrex

На его место встанет другой :)
26.05.2010, 00:49
MArtar

вот гадость, покумекать надо может что нибудь придумаю, спасибо за советы
26.05.2010, 09:46
polword

запустите Gmer, вкладка "[B]> > >[/B]" рядом с Rootrin/Malware - появится расширенное меню, затем вкладка [B]Registry[/B], найдите в ветке
[CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
[/CODE]
параметр
[CODE]AppInit_DLLs
[/CODE]
очистите его значение - [B]C:\WINDOWS\MedCtrOC.log:StWI1A,[/B] сохраните изменения - кнопка [B]Save...[/B], попробуйте загрузиться в обычном режиме и сделать логи по правилам
26.05.2010, 11:08
MArtar

прокатило!
АВЗ запустился делаю логи
26.05.2010, 11:33
MArtar

логи авз
26.05.2010, 13:21
MArtar

хиджак не запускается

[size="1"][color="#666686"][B][I]Добавлено через 1 час 22 минуты[/I][/B][/color][/size]

посмотрите логи
26.05.2010, 13:27
MArtar

лог combo
26.05.2010, 14:08
MArtar

логи посмотрите пожалуйста!
баннер исчез но проблемы остались
26.05.2010, 14:42
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('c:\windows\System32\Drivers\ypsxnmeo.sys','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\TEMP.ASER.003\Application Data\zwog.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\gouga.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\bossoos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\igdkmd32.sys','');
QuarantineFile('C:\DOCUME~1\TEMPAS~1.003\LOCALS~1\Temp\gygvyhwhyz.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\atsqyalz.sys','');
DeleteService('atsqyalz');
DeleteService('uixgmov125aeit');
QuarantineFile('C:\WINDOWS\system32\pufequout.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atsqyalz.sys','');
TerminateProcessByName('c:\documents and settings\localservice\application data\microsoft\vonouruzi.exe');
QuarantineFile('c:\documents and settings\localservice\application data\microsoft\vonouruzi.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\atsqyalz.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\bossoos.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','koutoqu');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','koutoqu');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\gouga.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','hupoj');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','hupoj');
DeleteFile('C:\Documents and Settings\TEMP.ASER.003\Application Data\zwog.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
26.05.2010, 15:30
MArtar

все сделал

Показывать 40 сообщений этой темы на одной странице