-
Junior Member
- Вес репутации
- 53
"окно СМС"
http://216.246.90.119/showthread.php?t=58081
У меня точно такая же проблема, только начал читать Правила (а в выше привед теме ответить не смог, посему пришлось свою создать)
Так вот, если бы я рекомендованный скрипт не запустил по AVZ то тут бы не отписывал, а так есть повод, "ноги растут" из этой ссылки: http://forum.ixbt.com/topic.cgi?id=22:77015#2 , и меня сюда адресовали.
Крик и мольбы утопающего.
Кратко :
Аваст пропустил, нет поместил в инкубатор три фалика (троянских или просто заражённых?).
Но на сл. день Стала картинка запускаться при вх в Винд. ХР с требов отсыла смс-ки на номер 7122, я в трансе, блокируется Инет и идёт отсчёт 10мин, что делать?
Скрипт этот запускал :
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DelBHO('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
DeleteService('Windows System Service');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Аваст, после перезагрузки ПК выдал пару сообщений (два файла), что нашёл червя.
ПАМАГИТЕ! что теперь нужно сделать (картинка с СМС-кой пропала, но сообщение Аваста настораж., хоть фалики я поместил в инкубатор)
Добавлено через 25 минут
"Прислать запрошенный карантин" - знать бы как его ещё найти .. в этом Авасте?
Добавлено через 7 минут
Читаю ПРАВИЛА.
Последний раз редактировалось gaarriis; 27.10.2009 в 14:42.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи по правилам выложите, поглядим.
-
-
Junior Member
- Вес репутации
- 53
В Правилах по Диагностике п.3 отправил вам два файла :
virusinfo_syscure.zip
virusinfo_cure.zip
Пока при перезагрузке "Окна с СМС" не было, но при просмотре протокола после диагностики AVZ выявил два файла, удалить их?
Последний раз редактировалось gaarriis; 27.10.2009 в 17:32.
-
Файлы через вложения прикрепите.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Белый Сокол
Файлы через вложения прикрепите.
вот:
Последний раз редактировалось gaarriis; 27.10.2009 в 18:54.
-
Junior Member
- Вес репутации
- 53
Вопрос дилетанта : Сетаповские AVPTool или CureIt (на инстал) запускать из *обычной загрузки или в *защищённом, (?) (я кажется ош. со сбором инф. и нарушил порядок, равно как и не прошёл п.2. в разделе "После загрузки инструментов")
И нужно ли *выгружать Аваст - (про него не было в Правилах упомянуто)? (при диагностики)
-
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\Администратор\restorer64_a.exe');
TerminateProcessByName('c:\windows\system32\restorer64_a.exe');
TerminateProcessByName('c:\windows\temp\wpv441255703227.exe');
QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\restorer64_a.exe','');
QuarantineFile('c:\windows\temp\wpv441255703227.exe','');
QuarantineFile('c:\documents and settings\Администратор\restorer64_a.exe','');
QuarantineFile('c:\windows\system32\restorer64_a.exe','');
DeleteFile('c:\windows\system32\restorer64_a.exe');
DeleteFile('c:\documents and settings\Администратор\restorer64_a.exe');
DeleteFile('c:\windows\temp\wpv441255703227.exe');
DeleteFile('C:\Documents and Settings\Администратор\restorer64_a.exe');
DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DeleteFileMask('c:\windows\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Сообщение от
gaarriis
Вопрос дилетанта : Сетаповские AVPTool или CureIt (на инстал) запускать из *обычной загрузки или в *защищённом
Проверку этими инструментами рекомендуется проводить в безопасном режиме.
Лог АВПТул нужно делать в нормальном режиме.
Сообщение от
gaarriis
И нужно ли *выгружать Аваст - (про него не было в Правилах упомянуто)?
Обязательно было упомянуто
После загрузки инструментов:
.....
6. Отключитесь от сети Интернет и
выгрузите антивирусную программу,
-
-
Junior Member
- Вес репутации
- 53
Я успел за это время Д Веб в защищённом, он нашёл штук 5троянов и наверно удалил, и вот лог от др. утилиты :
(Карантин по ссылке отослал)
Последний раз редактировалось gaarriis; 27.10.2009 в 23:08.
-
Junior Member
- Вес репутации
- 53
Rene-gad
"- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению." Прикрепляю :
Последний раз редактировалось gaarriis; 27.10.2009 в 23:11.
-
Во-первых, Quarantine и virusinfo_cure - не логи, а карантины. Во-вторых, они пустые, там ни одного реального файла нет, только описания. В-третьих, читайте в правилах, какие файлы надо прикреплять.
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось gaarriis; 27.10.2009 в 23:33.
-
Сравните имена файлов. По буквам.
-
-
Junior Member
- Вес репутации
- 53
Усё.., на том и порешим? ))))
-
Пофиксте в HijackThis строку:
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
Больше не видно ничего подозрительного.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-