-
Junior Member
- Вес репутации
- 58
iMAX Download Manager (sms)
Почитала я предыдущую ветку на тему, но так и не смогла сохранить лог HiJackThis
т.е. он запускается, но при потыке сохранить лог, выключается компьютер. Возможно ли как то в настройках (не нашла) убрать стандартное имя файла?
и еще (опять же вынесено из соседней аналогичной темы)
В наличии имеется LiveCD LamyGo(?) c возможностью править реестр.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось snifer67; 08.12.2009 в 19:02.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Помог второй совет.
Запускаются все исполняемые файлы.
Зараза ушла, сейчас буду сканировать свежей утилитой от Касперского.
Потом логи отсылать?
-
-
-
Junior Member
- Вес репутации
- 58
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\eieoc.dll
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-5687366580-3652448028-416465022-8118\winmap.exe','');
QuarantineFile('rdpclipC:\WINDOWS\system32\bndmss.exeC:\DOCUME~1\az-maxim\LOCALS~1\Temp\815.exe','');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\b220838d.sys','');
DeleteService('b220838d');
QuarantineFile('C:\WINDOWS\system32\drivers\hqvkzduotpqy.sys','');
DeleteService('oowimzc');
QuarantineFile('C:\WINDOWS\system32\eieoc.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\b1bcc3e8___.sys','');
DeleteFile('C:\WINDOWS\system32\eieoc.dll');
DeleteFile('C:\WINDOWS\system32\drivers\b1bcc3e8___.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hqvkzduotpqy.sys');
DeleteFile('C:\WINDOWS\System32\drivers\b220838d.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe');
DeleteFile('rdpclipC:\WINDOWS\system32\bndmss.exeC:\DOCUME~1\az-maxim\LOCALS~1\Temp\815.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd','StartupPrograms');
DeleteFile('C:\RECYCLER\S-1-5-21-5687366580-3652448028-416465022-8118\winmap.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(9);
Executerepair(11);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 58
Карантин отправила.
Новые логи.
-
Пофиксить в Hijack следующие строки:
Код:
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(11);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится, затем следующий
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Компьютер перезагрузится
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 58
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\WINDOWS\system32\bndmss.exe','');
DeleteService('BNDMSS');
QuarantineFile('C:\WINDOWS\system32\agissia.exe','');
DeleteService('W32TimeWmdmPmSN');
DeleteFile('C:\WINDOWS\system32\agissia.exe');
DeleteFile('C:\WINDOWS\system32\bndmss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
-
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 58
новый лог.
оффтоп(просто к сведению): Обновленный Аваст только что выдал про 100-миллионного пользователя и предложил посмотреть видео. На сайте Аваста есть такая новость, но в подробном выдает — 404.
-
-
-
Junior Member
- Вес репутации
- 58
-
В логах подозрительного не увидел, что с проблемой?
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
shapel
В логах подозрительного не увидел, что с проблемой?
Спасибо, еще раз.
Проблема устранена, компьютер в рабочем состоянии.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 31
- В ходе лечения вредоносные программы в карантинах не обнаружены
-