-
Junior Member
- Вес репутации
- 53
Помогите пожалуйста добить баннеры
Помогите пожалуйста, вылезли чёрный порнобаннер и серый полупрозрачный.
Черный был самый страшный. Путем изменения даты вперед-назад удалось толко профиксить ХайДжеком (сохранить сперва Hijakthis.log не удалось - комп при выполнении операции вырубился) сохранил после фиксации
Извините, всё не запомнил, но профиксил только эти процессы
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\(не записал как называется).dll
021 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C}
- overlapp32.dll (Могу ошибиться) А при повторном фиксе
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windo ws\system32\sdra64.exe,
Логи прилагаются
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\axsaki.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\axsaki.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61741).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Добавлено через 46 секунд
Исправьте дату.
Последний раз редактировалось Bratez; 30.11.2009 в 04:25.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Я прошу прощенья, до Вашего скрипта не удержался, удалил sdra64.exe сам, скриптом
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','' );
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
RebootWindows(true);
end.
Поэтому в карантине только драйвер. Загрузить не смог,
Пишет http://virusinfo.info/upload_virus.php?tid=61741:
Некорректный файл
Сейчас всё работает, толко после выполнения Вашего скрипта страницы в инете долго грузятся. Если что, драйвер можно будет попытаться восстановить?
Он не опасен? Просто не нужен?
Ещё раз огромное Спасибо!
-
Выполните скрипт:
Код:
begin
CreateQuarantineArchive( 'C:\quarantine.zip' );
end.
и загрузите по указанной ссылке файл C:\quarantine.zip.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Пишет:
Ошибка скрипта: Undeclared identifier: 'CreateQuarantineArchive', позиция [2:24]
Высылаю файл с таким именем,который был создан ранее,но он походу пустой, не закачался наверное, ещё virus.zip закачал
Ещё забыл сказать, фиксенный файл
O20 - AppInit_DLLs: C:\WINDOWS\system32\MomIU.dll
NOD32 удалил..
Последний раз редактировалось Васильч; 30.11.2009 в 12:51.
-
Этого достаточно.
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите новый карантин согласно приложению 3 правил
и повторите лог по п.2 Диагностики.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Файл карантина закачал по красной ссылке вверху темы
Спасибо! Сечас инет быстрее вроде работает.
-
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.380, AVAST4: Win32:Patched-KP [Trj] )
-