-
Junior Member
- Вес репутации
- 47
Помогите со скриптом, плиз!
Здравствуйте!
Помогите, пожалуйста, со скриптом!
Проблема и симптомы как здесь: http://virusinfo.info/showthread.php?t=102884 но кармы не хвататет не плодить веток, извиняюсь.
5 лет ничего нигде не цепял, но вот женсчина добралась до компа под моей админской учёткой...
Подозрения сильные - и гугол их подкрепляет - вот на это:
Анализатор - изучается процесс 556 C:\windows\system32\explorеr.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
В таскменеджере 2 процесса под этим названием, один из них легитимный, и не знаю, по какому стрелять, боюсь убить не то.
В системе ещё 3 или 6 библитек, погугленные, как опасные, откуда внедряются, не пока нашёл, но это уже ерунда.
Да, файл убить не могу, он скрытый и меняет имя, ну по типу explor & # 1 0 7 7 ; r.exe или ещё как-то.
Не отнимал бы Ваше драгоценное время, но скрипты к AVZ никогда не писал, ссылочку бы на мануал с примерами, думаю, и сам бы осилил.
Upd:
Вот, что hijackthis online пишет:
C:\windows\system32\explorеr.exe - NASTY
O4 - HKLM\..\Run: [rundll32] c:\windows\system32\explorеr.exe - NASTY
З.Ы. Браузер ест теги, но имя я вытащил.
Ниже логи.
Заранее благодарю.
Последний раз редактировалось ENERGY; 31.05.2011 в 23:23.
Причина: update
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ENERGY, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
Пофиксите в HijackThis:
Код:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\explorеr.exe');
QuarantineFile('C:\DOCUME~1\Georgiy\LOCALS~1\Temp\jfdcd.sys','');
QuarantineFile('c:\windows\system32\explorеr.exe','');
DeleteFile('c:\windows\system32\explorеr.exe');
DeleteFile('C:\DOCUME~1\Georgiy\LOCALS~1\Temp\jfdcd.sys');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('jfdcd');
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 47
Спасибо!
В логах чисто.
Подозрительная надстройка удалилась.
Firewall процесса explor5r больше не наблюдает. И прочих чужих тоже.
Кое-какие права вернулись на место.
В остальных местах тоже в целом порядок.
Файл отправил.
В автозагрузке остались некие MsSip1.dll, MsSip2.dll, MsSip3.dll, упоминаются тут:
http://virusinfo.info/showthread.php?t=43031
Но это уже мелочи. В целом, думаю, проблема решена.
Ещё раз спасибо за помощь в поздний час!
Удачи проекту!
-
Сделайте повторные логи, может что-нибудь осталось.
Сообщение от
ENERGY
В автозагрузке остались некие MsSip1.dll, MsSip2.dll, MsSip3.dll
Чистые.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\explorеr.exe - Worm.Win32.AutoRun.beo ( DrWEB: Win32.HLLW.Autoruner.722, BitDefender: Win32.Worm.Autorun.HH, NOD32: Win32/AutoRun.EO worm, AVAST4: Win32:AutoRun-VS [Wrm] )
-