Помогите избавиться от заразы.
Помогите избавиться от заразы.
Выполнить скрипт:
Затем этот скрипт:Код:procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\SY\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\WINNT\system32\DRIVERS\sf256pcr.sys',''); DeleteService('Schedule'); DeleteService('Google Online Services'); DeleteService('FCI'); DeleteService('CcEvtSvc'); QuarantineFile('C:\WINNT\system32\drivers\spools.exe',''); QuarantineFile('C:\Documents and Settings\SY\ie_updates3r.exe',''); QuarantineFile('C:\WINNT\system32\fci.exe',''); QuarantineFile('C:\WINNT\System32\CcEvtSvc.exe',''); DeleteFile('C:\WINNT\System32\CcEvtSvc.exe'); DeleteFile('C:\WINNT\system32\fci.exe'); DeleteFile('C:\Documents and Settings\SY\ie_updates3r.exe'); DeleteFile('C:\WINNT\system32\drivers\spools.exe'); DeleteFile('C:\Documents and Settings\SY\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\basexnco32.dll'); DeleteFile('C:\basexnco32.rar'); DeleteFile('C:\ASlim1200SE\basexnco32.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Schedule'); BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('FCI'); BC_DeleteSvc('CcEvtSvc'); BC_Activate; SetAVZPMStatus(true); RebootWindows(true); end.
Сделал все, как вы сказали. Дисковода пока нет.
Установите AVZPM и сделайте логи...
Я по незнанию сделал проверку при помощи AVPtool. Сейчас мне предлагают стереть троян, так как его невозможно вылечить. Соглашаться или сделать отказ и запустить AVZPM?
Удалите что предлагают и запишите название, после этого установите AVZPM и сделайте логи AVZ..
Сделано!
Кстати, попробовал поставить нод32 - неуспешно.
Помощь все еще нужна
Я просил установить AVZPM...
странно. я сделал все как в инструкции написано. установил драйвера, перезагрузил, сделал логи. По всей видимости что-то не получилось. Может дело вот в этой фразе:
Речь идет о правах админимтратора Виндовс или речь идет о запуске AVZ с каким то параметром? Если первое, то я так и сделал.Необходимо запустить AVZ(с правами администратора).
У вас не Vista и UAC нет Установите еще раз и сделайте логи...
да чего вы мучаетесь, вот этот скрипт выполнить в avz, а не в аvptool-
он и поставит avzpm, потом уже логи сделаете в том же avzКод:begin SetAVZPMStatus(true); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Как можно понять, что AVZPM установился? Я сделал снова установку, перегрузился, но AVZ по-прежнему в меню позволяет выбрать опцию "установить драйвер расширенного мониторинга процессов". Значит ли это, что AVZPM не установлен? Как можно заставить установиться этот режим, если он не хочет устанавливаться штатно?
сделал логи.
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
ссылка на гмер битая. ;(
Уважаемый(ая) Сергей Ш-в, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.