-
Junior Member
- Вес репутации
- 53
комп пытается отправить кучу сообщений
Доброго времени суток.
на компе живет вирус. При появлении интернета (тоисть при наличии шлюза) пытается отправить кучу сообщений. Стоит SAV который забрасывает экран кучей окошек о невозможности отправки.
Комп проверялся, стандартными утилитами + spybot.
Не помагает.
Файлы приложил согласно инструкции.
З.Ы. На компе стоит уникальая прога, из-за которой нельзя его переустанавливать. Прога самописная, разработчики уже давно утеряны
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы отключить.
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\CashWiz\EcrSvr32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pzplks.sys','');
QuarantineFile('C:\WINDOWS\system32\RxCtl7.bpl','');
QuarantineFile('C:\WINDOWS\system32\RxDB7.bpl','');
QuarantineFile('C:\WINDOWS\system32\TB97_d7.bpl','');
QuarantineFile('C:\WINDOWS\RNBOpen.dll','');
QuarantineFile('C:\WINDOWS\RLocal.dll','');
QuarantineFile('C:\RK6\PDS\CARDSERV\Cardserv.exe','');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','WinAVX');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','WinAVX');
DeleteFile('C:\WINDOWS\system32\Drivers\pzplks.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Ок спасибо.
Завтра попробую сделать, попутно пару вопросов:
-можно ли будет откатить систему назад, и достать файлы из карантина, в случае если самописная програ, о которой я говорил, перестанет работать?
- 'C:\RK6\PDS\CARDSERV\Cardserv.exe и 'C:\CashWiz\EcrSvr32.exe' это нормальные живые проги, которые работают с системой(не вирусы). Можно эти строчки самостоятельно удалить из скрипта?
Спасибо
-
А с ними ничего не делается. Файлы в карантин только копируются.
-
-
Junior Member
- Вес репутации
- 53
Файл карантина 091223_124151_Quarantine_4b31e5df3ada6.zip
Самое интересное что не удалется файл pzplks.sys
В безопасном режиме тоже.
Может его руками через LiveCD удалить?
спасибо.
-
Сообщение от
AlexSashkaff
Самое интересное что не удалется файл pzplks.sys
В безопасном режиме тоже.
Может его руками через LiveCD удалить?
Так и сделайте. Но сначала скопируйте его в другую папку (из-под LiveCD), запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-