-
Junior Member
- Вес репутации
- 53
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
я это все прочитал, но я проверял зараженную систему из другой, так как в зараженной вирус не дает выполнить приложения,а при входе в папку AVZ вообще перезагружается сразу. как быть в этом случае? ведь из новой системы нет смысла собирать данные о зараженной, так?
-
HijackThis тоже не получается запустить?
-
-
Junior Member
- Вес репутации
- 53
кое как удалось сделать лог, так как вирус не дает создать файл hijackthis.log
Последний раз редактировалось thyrex; 22.07.2011 в 11:04.
-
Пофиксите
Код:
O20 - AppInit_DLLs: C:\WINSP3\system32\tgqzo.dll
Добавлено через 34 секунды
Затем логи по правилам
Последний раз редактировалось Шапельский Александр; 02.12.2009 в 21:16.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
пофиксил как вы сказали, но результат тот же тоже окно с кодом и ничего не запускается....
да и при повторном сканировании HijackThis строка уже такого вида
O20 - AppInit_DLLs: C:\WINSP3\system32\hou.dll
-
Безопасный режим работает? Если да, то загрузитесь. Почистите все файлы во всех временных папках (Temp, Temporay Internet Files) у всех аккаунтов. Потом пробуйте загрузиться в обычном режиме. Делайте логи.
-
-
Junior Member
- Вес репутации
- 53
удалил все временные папки как сказали.... вирус все еще присутствует. вот лог
-
Junior Member
- Вес репутации
- 53
-
Переименуйте этот файл C:\WINSP3\system32\h.dll
Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINSP3\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Перезагрузите ПК
-
-
Junior Member
- Вес репутации
- 53
переименовал, вроде окно не появляется, пофиксил строку.... перезагруз
лог
-
Логи АВЗ сделайте, надо добить зловреда!
-
-
Junior Member
- Вес репутации
- 53
ок, сделал все логи. высылаю.
Последний раз редактировалось Andrey1302; 03.12.2009 в 14:10.
-
Junior Member
- Вес репутации
- 53
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINSP3\system32\mbefj.dll
F2 - REG:system.ini: UserInit=C:\WINSP3\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{93344865-74BD-4873-BE65-56539D41A65C}');
QuarantineFile('C:\WINSP3\Downloaded Program Files\Earn2Life.dll','');
QuarantineFile('c:\C\Settings\cl.exe','');
QuarantineFile('c:\NEXT\FILES\NEXT.exe','');
QuarantineFile('C:\WINSP3\system32\AVLibrary.dll','');
QuarantineFile('C:\Program Files\Everstrike Software\Lock Folder XP 3.5\LF30XP.sys','');
QuarantineFile('C:\WINSP3\system32\mbefj1.dll','');
DeleteFile('C:\WINSP3\system32\mbefj1.dll');
DeleteFile('C:\WINSP3\system32\AVLibrary.dll');
DeleteFile('c:\NEXT\FILES\NEXT.exe');
DeleteFile('c:\C\Settings\cl.exe');
DeleteFile('C:\WINSP3\Downloaded Program Files\Earn2Life.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(14);
Executerepair(11);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Последний раз редактировалось Шапельский Александр; 03.12.2009 в 14:56.
-
-
Junior Member
- Вес репутации
- 53
а файл mbefj.dll надо обратно переименовывать?
я его переименовал в mbefj1.dll чтобы окно убралось
-
Не надо, я подправил скрипт. Он отработает.
-
-
Junior Member
- Вес репутации
- 53
ок, отослал карантин, вот логи.
да, теперь после загрузки системы автоматически загружется интернет ехплореер с сайтом http://butirat.com/job.php?num=2298187490&rev=53
это что???? в автозагрузке пусто.... как отключить?
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winsp3\system32\winagent.exe','');
DeleteFile('c:\winsp3\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось snifer67; 03.12.2009 в 16:53.
-