Показано с 1 по 15 из 15.

Помогите вылечить (заявка № 17999)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Exclamation Помогите вылечить

    В один из компьютеров попала зараза. Пошла почтовая рассылка и одновременно закачка. Symantec многое удалил, но не все. Cureit и AVZ запускал только в безопасном режиме. В нормальном, комп. сразу же вылетает в синий экран.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     SetServiceStart('NdisWon', 4);
     StopService('NdisWon');
     QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
     QuarantineFile('C:\WINDOWS\mmhren1.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NdisWon.sys','');
     QuarantineFile('C:\WINDOWS\system32\diperto7986-191b.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\NdisWon.sys');
     DeleteFile('C:\WINDOWS\mmhren1.exe');
     DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-790525478-1580818891-839522115-1003\Dc20.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-790525478-1580818891-839522115-1003\Dc21.exe');
     BC_DeleteFile('C:\WINDOWS\mmhren1.exe');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\NdisWon.sys');
     BC_DeleteSvc('NdisWon');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=1799

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Не получается

    Попытался, но опять вывалился в dump.

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    А выполняли в в безопасном режиме?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните такой скрипт:
    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Adyn72', 'Start');
     RebootWindows(true); 
    end.
    а затем скрипт из сообщения #2.
    Если оба выполнятся успешно, пришлите карантин и сделайте новые логи (при возможности - в нормальном режиме).
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Готово

    Получилось выполнить скрипты в нормальном режиме. Логи высылаю.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Добавление

    Один файл почему-то не отправился, добавляю

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Уважаемый, а где карантин?

    Грузить
    http://virusinfo.info/upload_virus.php?tid=17999

    Добавлено через 6 минут

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('FCI', 4);
     SetServiceStart('diperto7986-191b', 4);
     StopService('diperto7986-191b');
     StopService('FCI');
     QuarantineFile('C:\WINDOWS\mmhren1.exe','');
     QuarantineFile('C:\WINDOWS\system32\diperto7986-191b.sys','');
     QuarantineFile('FCI.sys','');
     QuarantineFile('helpsvcNetDDEdsdm.sys','');
     DeleteFile('FCI.sys');
     DeleteFile('C:\WINDOWS\system32\diperto7986-191b.sys');
     DeleteFile('C:\WINDOWS\mmhren1.exe');
     DeleteService('diperto7986-191b');
     DeleteService('FCI');
     SysCleanAddFile('C:\WINDOWS\mmhren1.exe');
     BC_ImportALL;
     BC_DeleteFile('C:\WINDOWS\mmhren1.exe');
     BC_DeleteFile('FCI.sys');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('diperto7986-191b');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17999

    Загрузите обязательно...повторите логи
    Последний раз редактировалось akoK; 14.02.2008 в 11:23. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Новые логи

    Не получается. Сообщение: Превысил размер на форуме. Что делать?
    Последний раз редактировалось gss1234; 14.02.2008 в 12:16.

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Сообразил

    Выкладываю последние логи.
    Последний раз редактировалось gss1234; 14.02.2008 в 12:44.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DelAutorunByFileName('C:\WINDOWS\mmhren1.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17999

    Повторите лог virusinfo_syscheck
    Microsoft Most Valuable Professional in Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Готово

    Закачал карантин, вложение выслал.
    Последний раз редактировалось gss1234; 15.02.2008 в 11:30.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');                                                                    
     QuarantineFile('C:\WINDOWS\system32\drivers\qqd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\helpsvcNetDDEdsdm.sys','');   
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите новый карантин

  15. #14
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    90
    Вес репутации
    39

    Сделал

    После выполнения скрипта, карантин был пустой.
    Карантин создался после выполнения скрипта №3 из стандартных.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    qqd.sys
    helpsvcNetDDEdsdm.sys

    Поищите через AVZ, найдутся - пришлите

  • Уважаемый(ая) gss1234, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите вылечить
      От gss1234 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.03.2011, 14:29
    2. Помогите вылечить
      От mrHill в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.02.2011, 14:41
    3. помогите вылечить
      От arkadiy_sp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.07.2009, 10:25
    4. Помогите вылечить PC
      От vit_l в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.05.2009, 19:00
    5. Помогите вылечить :(
      От beginner в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.04.2009, 03:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01181 seconds with 20 queries