-
Junior Member
- Вес репутации
- 48
Удаление остатков вирусов
Добрый день!
На рассматриваемом компьютере побывало несколько вирусов, в том числе WinLock. Так как нужно было срочно лечить - удалил большую часть вручную. Однако наверняка я (и CureIT с AVPtool) что-то упустил. Логи AVZ и HiJackThis приложены. Велика вероятность наличия RootKit-а.
Последний раз редактировалось Lone_Wanderer; 14.04.2011 в 20:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\Program Files\\Outlook Express\setup50.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('e:\Temp\LHSRSL.exe','');
QuarantineFile('e:\Temp\QJKINSUFKAXP.exe','');
QuarantineFile('e:\Temp\QIZARLKNWU.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('E:\Program Files\\Outlook Express\setup50.exe');
DelBHO('178F34B8-A282-11D2-86C5-00C04F8EEA99');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 48
Карантин пуст. Видимо файлы были удалены до этого. Восстановлением файлов тоже не смог найти эти .exe
Повторные логи приложены.
Исправлено
Последний раз редактировалось Lone_Wanderer; 14.04.2011 в 20:11.
-
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('e:\Temp\QJKINSUFKAXP.exe','');
QuarantineFile('e:\Temp\QIZARLKNWU.exe','');
QuarantineFile('e:\Temp\LHSRSL.exe','');
DeleteFile('e:\Temp\LHSRSL.exe');
DeleteFile('e:\Temp\QIZARLKNWU.exe');
DeleteFile('e:\Temp\QJKINSUFKAXP.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('LHSRSL');
BC_DeleteSvc('QIZARLKNWU');
BC_DeleteSvc('QJKINSUFKAXP');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 48
Карантин пуст. Логи приложены.
Последний раз редактировалось Lone_Wanderer; 14.04.2011 в 20:11.
-
Прокси сами ставили?
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.177.238.45:8080
В остальном все чисто.
Что с проблемой?
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой выгрузите все приложения) + все обновления отсюда.
-Internet Explorer 8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 48
Да, прокси нужен был для одной программы.
Обновления в процессе, посторонней активности вроде не замечено.
Большое спасибо за помощь.