Что делать?
Что делать?
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\slgmsrv.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll',''); QuarantineFile('c:\documents and settings\all users\application data\srtserv\slgmsrv.exe',''); DeleteFile('c:\documents and settings\all users\application data\srtserv\slgmsrv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv'); DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\srtserv', '*.*', true); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\srtserv'); QuarantineFile('C:\Program Files\gcauthc\gcauthc.exe',''); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Вот:"
Что дальше делать?
вирус не удалился...все тоже самое...
- Выполните скрипт в AVZ
После перезагрузки:Код:begin ExecuteRepair(13); RebootWindows(true); end.
- Сделайте лог virusinfo_syscheck.zip;
- Сделайте лог MBAM.
Вот:
А что дальше делать???
Добавлено через 1 час 17 минут
Ау helperi....
Добавлено через 2 часа 21 минуту
И тишинаааааааа.......((((
Последний раз редактировалось prizraknaivy; 12.04.2010 в 00:26. Причина: Добавлено
Удалите в MBAM:
Выполните скрипт в AVZ:Код:Зараженные папки: C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\Flash Player Pro\PATCH.EXE',''); BC_ImportAll; BC_Activate; ClearHostsFile; SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи AVZ повторите.
Вот:
Что делать дальше??
У меня есть подозрения к одному файлу....от находиться C:\WINDOWS\Temp и называется Perflib_Perfdata_774 - удалить я не могу его...пишет ошибку....А так же при редактировании C:\WINDOWS\system32\drivers\etc\host - где собственно говоря упоминается об тех сайтах которые требуют смс активации...при удалении упоминаний...все возвращается в исходное состояние...
Добавлено через 40 минут
Ну так что?
Последний раз редактировалось prizraknaivy; 12.04.2010 в 02:17. Причина: Добавлено
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Создал лог syshek во вложения разместил...
Что делать дальше?
В Записи файла Hosts есть вот это:
127.0.0.1 localhost
вВ3454543авпвап
84.16.242.170 www.telebank.ru
84.16.242.170 telebank.ru
173.212.207.222 mail.ru
173.212.207.222 www.mail.ru
0x42.0x1D.0x2D.0xFB www.vkontakte.ru
0x42.0x1D.0x2D.0xFB vkontakte.ru
0x42.0x1D.0x2D.0xFB vk.com
0x42.0x1D.0x2D.0xFB www.vk.com
0x42.0x1D.0x2D.0xFB www.odnoklassniki.ru
0x42.0x1D.0x2D.0xFB www.odnoklassniki.ua
0x42.0x1D.0x2D.0xFB odnoklassniki.ua
0x42.0x1D.0x2D.0xFB odnoklassniki.ru
роП454ррrterапра
Это не должно быть, при удалении все удаляется...при заходе куда из списка сайта....опять заполняется host автоматом.... не пойму....((
Зайдите (лучше через total commander или far) в C:\WINDOWS\system32\drivers\etc\ найдите файл hosts (он без расширения), войдите в свойства файла, снимите атрибуты "только чтение", откройте файл блокнотом, удалите все строчки кроме 127.0.0.1 localhost
Сохраните файл.
сделайте лог Gmer
Все равно требует на всех сайтах...активацию через смс....
И что у меня теперь с компом...он стал виснуть....захожу в игру...поменялась графика...не возможно играть....Что делать???
Добавлено через 1 час 8 минут
Ау Helperu???
Последний раз редактировалось prizraknaivy; 12.04.2010 в 20:07. Причина: Добавлено
то есть?
Выполните скрипт во вложении, результат выполнения из корня диска С c:\avz_log.txt или из папки AVZ\Log прикрепите к сообщению. Загляните в этот отчет и пройдитесь по ссылкам, залатайте дыры в системе.
Вложение 230554
Проблему с графикой я решил....ток вот вирус так не убрался...не могу зайти на сайты....все тоже самое СМС активация....Что делать...
Вот:
Скрипт выполнил вот такой:
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\afw.sy s','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SandBo x.sys','');
end.
Выполните скрипт
Пробуйте зайти на сайтыКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); Executerepair(13); RebootWindows(true); end.
Добавлено через 3 минуты
Когда делали лог Gmer, после быстрой проверки, Scan нажимали? Если нет, то надо переделать лог Gmer.
Сделайте лог MBAM
Последний раз редактировалось Шапельский Александр; 12.04.2010 в 22:55. Причина: Добавлено
Уважаемый(ая) prizraknaivy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.