-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32669f0cba.exe,\?g
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\968nYyA.exe','');
QuarantineFile('C:\WINDOWS\system32\669f0cba.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a3ajg7yi.SYS','');
DeleteFile('C:\WINDOWS\system32\669f0cba.exe');
DeleteFile('\\?\globalroot\systemroot\system32\968nYyA.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(10);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Последний раз редактировалось polword; 23.03.2010 в 07:57.
-
-
Скажите..Как мне все это копировать ..для того чтобы воспользоваться на больном компе...
В наличии имеется тоько компакт диск....
-
скопировать на флешку, если нет флешки запишите на диск - после откроете на больном компе.
-
-
Уже пишу с больного компа....Скрипты прошли успешно...В настоящее время делаю логи авз.Баы обновил...
А как выслать карантин............В верху темы у меня ничего нет.........
Добавлено через 3 минуты
Карантин выслан............Файл сохранён как100323_081650_Архив ZIP - WinRAR_4ba84ec24802a.zipРазмер файла2081341MD5338adfd601a82c1707bf019cba248ebf
Скоро будут логи
Последний раз редактировалось nbnfy; 23.03.2010 в 08:17.
Причина: Добавлено
-
Вот новые логи...........
Последний раз редактировалось nbnfy; 27.03.2010 в 22:53.
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\669f0cba.exe,\\?\globalroot\systemroot\system32\968nYyA.exe,
Добавлено через 2 минуты
Сделайте лог hijackthis.log
Последний раз редактировалось polword; 23.03.2010 в 08:45.
Причина: Добавлено
-
-
Я уже пофиксил это ранее.Как Вы и писали.А сейчас этих строчек нет.....
-
Последний раз редактировалось nbnfy; 27.03.2010 в 22:53.
-
Что было плохого.....
-
Один из зверей Trojan-Dropper.Win32.Agent.btqp
Другой отправлен в вирлаб
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Проблема сейчас решена......Комп шустрит.....Нужные сайты все открываются.......
А если не секрет когда будет известно о зараженных файлах от вирлаба..
Скажите а каким образом вся эта нечисть пробралась...
Добавлено через 5 минут
Скажите если возможно..А какую функцию выполнял данный вирус на компьютере....
Можно ли где нибудь узнать..Функции вирусов..что они делают..
Последний раз редактировалось nbnfy; 23.03.2010 в 09:21.
Причина: Добавлено
-
Сообщение от
nbnfy
А если не секрет когда будет известно о зараженных файлах от вирлаба..
Когда придет ответ. А через какое время это произойдет, сказать сложно
Сообщение от
nbnfy
Скажите а каким образом вся эта нечисть пробралась...
Вам лучше знать, что и когда Вы посещали, запускали и т.д.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Вся эта канитель у меня произошла после обновления...Adobe Reader 9
Скажите достаточно ли в данной ситуации только Аутпоста.Или еще необходим антивирус(комп у меня слабый-ранее пользовался каспером 7.0.0.325 -более поздние версии тормозят комп по страшному)..
Добавлено через 6 часов 58 минут
Что то компьютер притормаживает после этой ситуации...........
Последний раз редактировалось nbnfy; 23.03.2010 в 16:23.
Причина: Добавлено
-
Судя по названию трояна 968nYyA.exe - DrWEB: Trojan.PWS.Ibank.28, он ворует пароли от Интернет-банкинга. Это только одни из двух пойманных, а сколько их было всего на компьютере узнать уже не возможно, многие самоудаляются после выполнения задачи.
-
-
Ну тогда это не страшно.......У меня и паролей то никогда небыло..........
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\669f0cba.exe - Trojan-Dropper.Win32.Agent.busk ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\968nyya.exe - Trojan-Dropper.Win32.Agent.btqp ( DrWEB: Trojan.PWS.Ibank.28 )
-