-
Junior Member
- Вес репутации
- 52
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Пользователь\local settings\application data\av.exe');
TerminateProcessByName('c:\windows\system32\syncman.exe');
TerminateProcessByName('c:\documents and settings\Пользователь\syncman.exe');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('c:\documents and settings\Пользователь\local settings\application data\av.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\roovuquy.exe','');
QuarantineFile('C:\WINDOWS\system32\gufootud.exe','');
QuarantineFile('C:\WINDOWS\system32\SyncMan.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\SyncMan.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\gufootud.exe','');
QuarantineFile('c:\documents and settings\Пользователь\syncman.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\fougoobefy.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\epfsiwpoc.sys','');
DeleteService('dqmlcqusftihl');
DeleteService('axyda');
DeleteService('es9e5qufaeolp');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('c:\documents and settings\Пользователь\local settings\application data\av.exe');
DeleteFile('c:\documents and settings\Пользователь\syncman.exe');
DeleteFile('c:\windows\system32\syncman.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\roovuquy.exe');
DeleteFile('C:\WINDOWS\system32\drivers\epfsiwpoc.sys');
DeleteFile('C:\WINDOWS\system32\drivers\lxnxsvksuh.sys');
DeleteFile('C:\WINDOWS\system32\gufootud.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\gufootud.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\fougoobefy.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rezoogar');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tosu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SyncMan');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SyncMan');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tosu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Скопировала Ваш скрипт. Вошла в АVZ-файл-выполнить скрипт. Вставила Ваш скрипт. Появилось сообщение об ошибке: ";" expected в позиции 36:1. Что делать?
-
Сообщение от
chnv
Что делать?
Ошибок в скрипте нет. Копируйте внимательно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Выполнила скрипт. Сообщения брандмауэра пропали, появился аваст. Я не очень поняла как прислать карантин. По правилам хотела создать новые логи в АVZ, но скрипты выполняются, а virusinfo_syscure.zip, virusinfo_syscheck.zip не создаются. Может я что-то не так делаю? или так и должно быть? Новый hijackthis.log получился.
-
Сообщение от
chnv
Я не очень поняла как прислать карантин.
Над первым сообщением Вашей темы есть красная ссылка ссылке Прислать запрошенный карантин. Как правильно присылать, прочтите в Приложении 3 правил
Сообщение от
chnv
скрипты выполняются, а virusinfo_syscure.zip, virusinfo_syscheck.zip не создаются
Новые логи перезаписывают старые. Проверьте время создания логов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
У меня в AVZ4 нет ни папки, ни файла Quarantine. Если зайти: файл-просмотр карантина - там пусто. Попыталась сделать опять новый лог. После выполнения сканирования в папке LOG пусто.
Выкладываю лог Хайджака.
-
Попробуйте сделать логи полиморфным AVZ из моей подписи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо. Логи получились. Выставляю. А карантина нет (может и не должно быть?)
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Выполнила Ваш скрипт. Написано, что скрипт выполнен без ошибок. Но в протоколе написано:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\cdrom.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\cdrom.sys)
Карантин с использованием прямого чтения - ошибка
Появилась папка Quarantin. В ней папка 2010-02-20. Но она пустая.
Добавлено через 5 часов 5 минут
Ответьте, пожалуйста!
Добавлено через 7 часов 57 минут
Карантин выложила. Что мне делать дальше?
Последний раз редактировалось chnv; 20.02.2010 в 23:15.
Причина: Добавлено
-
C:\WINDOWS\system32\DRIVERS\cdrom.sys заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Ой! Вылетело сообщение аваст: C:\toi.exe вирус/червь Удалила.
Добавлено через 13 минут
У меня в папке C:\WINDOWS\system32\DRIVERS нет файла cdrom.sys. Есть только cdaudio.sys и cdfs.sys ... Или я опять что-то не так поняла?
Последний раз редактировалось chnv; 21.02.2010 в 01:08.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
При сканировании Аваст выдал сообщение о вирусе C:\Documents and Settings\LocalService\Local Settings\Application Data\av.exe Имя: Win32:Malware-gen. Мне его удалить? Или как? (По Вашей ссылке написано:"ничего не удаляйте, не посоветовавшись с хелперами.")
Добавлено через 30 минут
Ответьте, пожалуйста!
Последний раз редактировалось chnv; 21.02.2010 в 02:02.
Причина: Добавлено
-
Вы лог сделали? Я его не вижу...
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\Пользователь\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Удалила. А что делать далее?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-