-
Junior Member
- Вес репутации
- 57
Вариация на тему Internet Security
Добрый вечер!
При запуске компьютера выскакивало окно Internet Security, за пару секунд находил порядка 70 вирусов, клянчил смс и не давал ничего запустить.. В безопасном режиме та же история.
Установлен ESS, но его запуск заблокирован(
Прогнал проверку CureIt и AVZ из-под Bart PE, нашли в system32 один вирус, проверка на virustotal.com подтвердила - вирь.
После его удаления (извиняюсь, забыл сам файл сохранить - при выходе из PE он удалился) в безопасном режиме прогнал полную проверку AVZ, он нашел ещё sdra64.exe, который я тоже удалил из под PE. Ещё AVZ ругался на несколько файлов мелких игрушек, но проверка на virustotal.com ни на кого из них не ругалась.
После этого сделал логи по инструкции и прошу помощи
ESS по прежнему заблокирован, догадываюсь как по номеру из EventViewer'a удалить записи относительно его блокировки из реестра, но опасаюсь что уберу не все (или больше чем надо), поэтому обращаюсь к вам как к спецам.
Проверьте пожалуйста логи.
Заранее спасибо за ответ!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57
Разрешите напомнить о себе
Логи не изменились, единственное что сделал - разрешил запуск ESS в реестре, удалив ключи запрещавшие это.
Заранее спасибо за ответ!
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}');
QuarantineFile('C:\WINDOWS\system32\tajf83ikdmf.dll','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mdm.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\csrss.exe','');
QuarantineFile('$‘|xђ.exe','');
DeleteFile('$‘|xђ.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\csrss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','asg984jgkfmgasi8ug98jgkfgfb');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mdm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yjafosi8kdf98winmdkmnkmfnwe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\tajf83ikdmf.dll');
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(13);
ExecuteRepair(6);
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
Повторить логи после скрипта.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
