Показано с 1 по 6 из 6.

Помогите со скриптом, плиз! (заявка № 102907)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    2
    Вес репутации
    47

    Помогите со скриптом, плиз!

    Здравствуйте!

    Помогите, пожалуйста, со скриптом!

    Проблема и симптомы как здесь: http://virusinfo.info/showthread.php?t=102884 но кармы не хвататет не плодить веток, извиняюсь.

    5 лет ничего нигде не цепял, но вот женсчина добралась до компа под моей админской учёткой...

    Подозрения сильные - и гугол их подкрепляет - вот на это:

    Анализатор - изучается процесс 556 C:\windows\system32\explorеr.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

    В таскменеджере 2 процесса под этим названием, один из них легитимный, и не знаю, по какому стрелять, боюсь убить не то.

    В системе ещё 3 или 6 библитек, погугленные, как опасные, откуда внедряются, не пока нашёл, но это уже ерунда.

    Да, файл убить не могу, он скрытый и меняет имя, ну по типу explor & # 1 0 7 7 ; r.exe или ещё как-то.

    Не отнимал бы Ваше драгоценное время, но скрипты к AVZ никогда не писал, ссылочку бы на мануал с примерами, думаю, и сам бы осилил.

    Upd:
    Вот, что hijackthis online пишет:
    C:\windows\system32\explorеr.exe - NASTY
    O4 - HKLM\..\Run: [rundll32] c:\windows\system32\explorеr.exe - NASTY

    З.Ы. Браузер ест теги, но имя я вытащил.



    Ниже логи.
    Заранее благодарю.
    Последний раз редактировалось ENERGY; 31.05.2011 в 23:23. Причина: update

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) ENERGY, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Здравствуйте.
    Отключите:
    -Все защитные приложения
    -ПК от интернета
    -Восстановление системы
    Пофиксите в HijackThis:
    Код:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('c:\windows\system32\explorеr.exe');
    QuarantineFile('C:\DOCUME~1\Georgiy\LOCALS~1\Temp\jfdcd.sys','');
    QuarantineFile('c:\windows\system32\explorеr.exe','');
    DeleteFile('c:\windows\system32\explorеr.exe');
    DeleteFile('C:\DOCUME~1\Georgiy\LOCALS~1\Temp\jfdcd.sys');
    DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('jfdcd');
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    2
    Вес репутации
    47
    Спасибо!
    В логах чисто.
    Подозрительная надстройка удалилась.
    Firewall процесса explor5r больше не наблюдает. И прочих чужих тоже.
    Кое-какие права вернулись на место.
    В остальных местах тоже в целом порядок.
    Файл отправил.
    В автозагрузке остались некие MsSip1.dll, MsSip2.dll, MsSip3.dll, упоминаются тут:
    http://virusinfo.info/showthread.php?t=43031
    Но это уже мелочи. В целом, думаю, проблема решена.

    Ещё раз спасибо за помощь в поздний час!
    Удачи проекту!

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Сделайте повторные логи, может что-нибудь осталось.
    Цитата Сообщение от ENERGY Посмотреть сообщение
    В автозагрузке остались некие MsSip1.dll, MsSip2.dll, MsSip3.dll
    Чистые.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\explorеr.exe - Worm.Win32.AutoRun.beo ( DrWEB: Win32.HLLW.Autoruner.722, BitDefender: Win32.Worm.Autorun.HH, NOD32: Win32/AutoRun.EO worm, AVAST4: Win32:AutoRun-VS [Wrm] )


  • Уважаемый(ая) ENERGY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 20.07.2012, 13:19
    2. Помогите со скриптом
      От 169313 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.01.2012, 01:35
    3. помогите со скриптом
      От dilik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.02.2010, 07:14
    4. Подхватил i-connect, помогите скриптом
      От zaika-max в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.05.2009, 20:25
    5. Помогите скриптом ))
      От Ярик в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01620 seconds with 19 queries