-
Junior Member
- Вес репутации
- 56
И снова Internet Security...
Всем доброго дня!
Снова по сабжу. Но, если в прошлый раз я с ним справился при помощи изменения имён HiJackThis и AVZ на типа "vjdkc", снял логи, прибил всё ненужное в реестре, разблокировалась запись на диск и мне удалось сделать логи АВЗ, то сейчас - не тут-то было! АВЗ с кривым именем запускается, но все надписи, кнопки, подписи и меню имеют вид типа [?639?] и ничего не работает. HiJackThis работает, но глаза протёр, никакого криминала не увидел. Запись Disable RegEdit не удаляется. По поводу АВЗ, может быть такое из-за того, что не запускается alg.exe?
Вообщем, что делать - низнаю. Профи - подскажите. Единственный лог - в атт.
Последний раз редактировалось Alexey_75; 06.02.2010 в 14:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
O20 - AppInit_DLLs: C:\WINDOWS\Cursors\sizewe.ani:ABeqYA
Перегрузите компьютер и попробуйте сделать логи по правилам.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Aleksandra, Этот ключ я прибил, не помогает...
Добавлено через 4 минуты
Я понял, почему у АВЗ такой странный вид! На комп с флешки НЕ копируется содержимое папки Base!!! Даже если переименовать папку, всё равно не копируется.
Последний раз редактировалось Alexey_75; 29.01.2010 в 11:47.
Причина: Добавлено
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Cursors\sizewe.ani:ABeqYA:$DATA','');
DeleteFile('C:\WINDOWS\Cursors\sizewe.ani:ABeqYA:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=69210
4. Сделайте логи по правилам.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Aleksandra, Скопировал через BootCD папку Base. Теперь, при попытке запустить АВЗ (с любым именем), запускается Internet Security, а АВЗ - нет. Вкладка "восстановление системы" отсутствует.
-
1. Загрузитесь в безопасном режиме.
2. Запустите HijackThis.
3. Выберите Open the Mics Tool section и далее Delete a file on reboot.
4. Найдите и удалите
C:\WINDOWS\Cursors\sizewe.ani:ABeqYA
5. Перегрузите машину и попробуйте сделать логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Aleksandra, запустил бутСД и переименовал в sizewe21.ani. AVZ запустился, сейчас делаю логи. файл вышлю в карантин.
-
Junior Member
- Вес репутации
- 56
Выключали свет....
Сделал логи, в атт.
Последний раз редактировалось Alexey_75; 06.02.2010 в 14:16.
-
Junior Member
- Вес репутации
- 56
Файл сохранён как 100129_143539_Quarantine_4b62c80bb4ae5.zip
Размер файла 123010
MD5 88858cd84e494a6958d3c482fd187800
Добавлено через 25 минут
Перезагрузился в обычном режиме, вот что осталось:
1. Диспетчер задач отключён администратором;
2. Не запускается антивирус изза политики ограничения запуска программ.
3. Отсутствует вкладка "восстановление системы"
Последний раз редактировалось Alexey_75; 29.01.2010 в 15:01.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 56
по п.1,2,3 выполнил скрипт (возможно, по-дилетантски...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Всё заработало!
Последние логи в атт.
А, ещё прибил в реестре, везде где нашёл, ссылки на sizewe.ani
Последний раз редактировалось Alexey_75; 06.02.2010 в 14:16.
-
C:\WINDOWS\Cursors\sizewe21.ani:ABeqYA:$DATA - Trojan.Win32.DieMast.jnd (KIS)
Выполните скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\sizewe.ani:ABeqYA', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
end.
Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Александра, я прошу прощенья, но "не долеченный" компутер уже вне моей досягаемости. Какбы там нибыло, благодарю за помощь.
Тема закрыта.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\cursors\sizewe21.ani:abeqya:$data - Trojan.Win32.DieMast.jnd ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Bredolab-BR [Trj] )
-