Чистил комп от вирусов, удалил конфликер. Осталось в логе подозрение на маскировку двух служб и никак не могу удалить. Может еще что-то пропустил. Прошу посодействовать.
Чистил комп от вирусов, удалил конфликер. Осталось в логе подозрение на маскировку двух служб и никак не могу удалить. Может еще что-то пропустил. Прошу посодействовать.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('I:\autorun.inf'); DeleteFile('D:\autorun.wsh'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
Сделайте новые логи AVZ + лог GMER
Прямое чтение C:\WINDOWS\system32\rsaeu.dll -- похоже конфикер еще жив.
Надо КидоКиллер погонять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Прошу прощения. Человек выслал мне старые логи, по которым чистил я. Вот что я ему посоветовал сделать:
Посмотрев карантин, убедился, что rsaeu.dll - и был конфликер.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\ute4odky.sys',''); QuarantineFile('C:\Documents and Settings\Администратор\tetatet\tetatet.exe',''); QuarantineFile('C:\WINDOWS\system32\rsaeu.dll',' '); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF54B.tmp',' '); QuarantineFile('usb_magr.exe',' '); QuarantineFile('D:\autorun.wsh',' '); QuarantineFile('D:\autorun.inf',' '); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\Documents and Settings\Администратор\tetatet\tetatet.exe'); DeleteFile('C:\WINDOWS\system32\rsaeu.dll'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF54B.tmp'); DeleteFile('I:\autorun.inf'); DeleteFile('D:\autorun.wsh'); DeleteFile('D:\autorun.inf'); DeleteFile('usb_magr.exe'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); BC_ImportALL; BC_DeleteSvc('ldrrjztce'); BC_DeleteSvc('yqgdg'); ExecuteSysClean; ExecuteRepair(4); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
После этого в логах осталось только
Я так понимаю это надо удалять Gmer'ом?Код:>>> Подозрение на маскировку ключа реестра службы\драйвера "ldrrjztce" >>> Подозрение на маскировку ключа реестра службы\драйвера "yqgdg"
Уже выполнил. Про проблемы ничего не говорил. Лог GMER приложу, но не сразу. Просто общаемся по почте, у него лимит интернета в мир закончился а мы из Украины. Мне начинает казаться, что проще приехать к нему и вручную все почистить.
PS: какого рода проблемы могут возникнуть и из-за какого действия в скрипте?
Можно поподробнее про легитимные программы, чтобы знать на будущее и уведомить об этом человека?
Раздел обучения здесь: http://virusinfo.info/showthread.php?t=15090
Подавайте заявку, если есть желание научиться.
Лог GMER ожидается
Там уже зачтены 3 задания) Лог будет.
Уважаемый(ая) Saint-technik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.