Добрый день любимому сайту
Порно-заставка лезет при любом обращении к браузеру.
Хелп)
Логи выкладываю.
Добрый день любимому сайту
Порно-заставка лезет при любом обращении к браузеру.
Хелп)
Логи выкладываю.
Последний раз редактировалось Sibirian; 30.11.2009 в 10:43.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(16); ExecuteRepair(9); ExecuteRepair(6); ExecuteRepair(13); ExecuteRepair(17); ExecuteRepair(8); DeleteService('sysdrv32'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\system32\SounDriverCashe.dll',''); QuarantineFile('C:\WINDOWS\system32\gNsRAI.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\geyekrewqqhxre.dll',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('\\?\globalroot\systemroot\system32\geyekrewqqhxre.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новыe логи AVZ и приложите к этой теме.
Базы обновил, скрипт выполнил, новые логи выкладываю. Битый час со своим никаким НЕТом пытаюсь закачать карантин... Еще и при обращении к флешке чз раз в ребут сваливается...
Если карантин нужен - продолжаю упражнения(
Последний раз редактировалось Sibirian; 30.11.2009 в 10:43.
Какрантин нужен. Он должен быть не большой. Если большой, сделайте новый архив, в котором будут только файлы, упомянутые тут:
QuarantineFile('C:\WINDOWS\system32\SounDriverCash e.dll','');
QuarantineFile('C:\WINDOWS\system32\gNsRAI.dll','' );
QuarantineFile('\\?\globalroot\systemroot\system32 \geyekrewqqhxre.dll','');
QuarantineFile('c:\windows\system32\csrcs.exe','') ;
Наконец добрался до кабеля с радиодоступа...
Карантин выложен с результатом Файл сохранён как091010_153741_virus_4ad07205f27a0.zipРазмер файла695119MD5e10a2b3a83d45e2d35f5c1b032f748ea
Логи повторяю.
Добавлено через 7 минут
Логи не дает выложить - так как вроде уже есть...
Последний раз редактировалось Sibirian; 10.10.2009 в 15:48. Причина: Добавлено
Очистите карантин AVZ.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ExecuteRepair(9); ExecuteRepair(6); ExecuteRepair(17); BC_DeleteSvc('sysdrv32'); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('\systemroot\system32\drivers\geyekrtymafwog.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\dwsvc32.sys',''); QuarantineFile('c:\windows\system32\smsc.exe',''); DeleteFile('c:\windows\system32\smsc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\dwsvc32.sys'); DeleteFile('\systemroot\system32\drivers\geyekrtymafwog.sys'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); DeleteFile('C:\WINDOWS\system32\gNsRAI.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sound','DLLName'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполнено.
Карантин :
Файл сохранён как091010_165036_virus_4ad0831c515d3.zipРазмер файла445593MD5dae2827bccd19c912df9d0e197aa474b
Последний раз редактировалось Sibirian; 30.11.2009 в 10:43.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(13); ExecuteRepair(16); RebootWindows(true); end.
Повторите п.2 Диагностики и сделайте такой лог:
http://virusinfo.info/showthread.php?t=40118.
Последний раз редактировалось Bratez; 10.10.2009 в 17:05. Причина: дополнил скрипт
Выполнено - выкладываю.
Последний раз редактировалось Sibirian; 30.11.2009 в 10:43.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\windows\system32\drivers\geyekrrk.sys',''); DeleteFile('C:\windows\system32\drivers\geyekrrk.sys'); QuarantineFile('C:\windows\system32\geyekrcmd.dll',''); DeleteFile('C:\windows\system32\geyekrcmd.dll'); QuarantineFile('C:\windows\system32\geyekrlog.dat',''); DeleteFile('C:\windows\system32\geyekrlog.dat '); QuarantineFile('C:\windows\system32\geyekrwsp.dll',''); DeleteFile('C:\windows\system32\geyekrwsp.dll '); QuarantineFile('C:\windows\system32\geyekr.dat',''); DeleteFile('C:\windows\system32\geyekr.dat'); QuarantineFile('C:\windows\system32\geyekrwsp8.dll',''); DeleteFile('C:\windows\system32\geyekrwsp8.dll '); QuarantineFile('C:\windows\system32\geyekroaxtleiw.dll',''); DeleteFile('C:\windows\system32\geyekroaxtleiw.dll '); QuarantineFile('C:\windows\system32\geyekrqqeipyvi.dat',''); DeleteFile('C:\windows\system32\geyekrqqeipyvi.dat '); QuarantineFile('C:\windows\system32\geyekrkfiftpux.dll',''); DeleteFile('C:\windows\system32\geyekrkfiftpux.dll'); QuarantineFile('C:\windows\system32\geyekrxlieewmd.dat',''); DeleteFile('C:\windows\system32\geyekrxlieewmd.dat'); QuarantineFile('C:\windows\system32\geyekrewqqhxre.dll',''); DeleteFile('C:\windows\system32\geyekrewqqhxre.dll'); QuarantineFile('C:\windows\system32\drivers\geyekrtymafwog.sys',''); DeleteFile('C:\windows\system32\drivers\geyekrtymafwog.sys'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts\main'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts\modules'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts\main'); RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts\modules'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\geyekrrubobxts'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\geyekrrubobxts'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог gmer.
Последний раз редактировалось snifer67; 10.10.2009 в 18:37.
Поправил.
Ошибка позиции 28:20
Добавлено через 20 минут
Исправьте скрипт, пожалуйста)
Последний раз редактировалось Sibirian; 10.10.2009 в 18:40. Причина: Добавлено
Выполнено.
Карантин пустой))
Логи выкладываю - второй на всякий случай)
Последний раз редактировалось Sibirian; 30.11.2009 в 10:43.
Пофиксите в hijackthis
Сделаете hijackthis.logКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
Выполнено - выкладываю.
Последний раз редактировалось Sibirian; 30.11.2009 в 10:43.
Чисто.Проблемы остались ?
Надеюсь, что нет! Громадное спасибо вам всем)))
Спасибо не пишется, а нажимается.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.3438, BitDefender: Win32.Worm.Sohanad.NEI )
- c:\windows\system32\gnsrai.dll - Trojan.Win32.Delf.pba ( DrWEB: Trojan.Kor, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\soundrivercashe.dll - Trojan.Win32.Delf.pcn ( DrWEB: Trojan.Kor )
- \\?\globalroot\systemroot\system32\geyekrewqqhxre. dll - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2438994, NOD32: Win32/Olmarik.MF trojan, AVAST4: Win32:Alureon-DA [Rtk] )
Уважаемый(ая) Sibirian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.