-
Junior Member
- Вес репутации
- 51
Баннер 3381
Все попадавшиеся коды опробованы.
Запустить AVPTool и AVZ из системы не удается, IE блокируется.
С LiveCD AVPTool нашел кучу троянов, но после загрузки системы баннер снова проявился
При работе HiJackThis вылетает, но лог создается его только и могу приложить
Посоветуйте пожалуйста, как лечиться дальше
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
LiveCD с возможностью просмотра и редактирования реестра понадобится. Например, ERD Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
LiveCD есть, возможность редактирования реестра есть
Последний раз редактировалось ra4udc; 20.05.2010 в 17:03.
Причина: Добавлено
-
Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр Содержимое этого параметра в своем сообщении напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Параметр AppInit_DLLs : c:\Windows\system32\qeisthh.dll
-
Выполнять с помощью LiveCD
1. c:\Windows\system32\qeisthh.dll переименуйте
2. Очистите значение параметра AppInit_DLLs
3. В папке Documents and Settings\All Users переименуйте файл systems.exe
4. Пробуйте загрузиться в нормальном режиме
Если баннер не появляется, выполняйте логи по правилам + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
1. переименовал c:\Windows\system32\qeisthh.dll
2. Очистил значение параметра AppInit_DLLs
3. В папке Documents and Settings\All Users файл systems.exe не найден, на диске вообще не нашел такого файла
4. Загрузился в нормальном режиме
Баннер пропал
Готовлю логи как просили
-
Junior Member
- Вес репутации
- 51
лог combofix получить не удалось, не установлена консоль восстановления
пытаюсь ее установить
пока кидаю логи avz и hijackthis
-
Сообщение от
ra4udc
лог combofix получить не удалось, не установлена консоль восстановления
Вообще говоря, программа предлагает ее установить. Вы вправе отказаться и выполнение пойдет дальше
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\Documents and Settings\taran-29\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
DeleteFile('C:\Documents and Settings\taran-29\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
поторопился, да в добавок плохо прочитал правила
скрипт выполнил в avptool, а где у него карантин найти не могу
поиск по имени ничего не дал
посылаю пока только логи
может подскажите, что можно сделать для поиска размещения карантина avptool
-
Выполните скрипт
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по красной ссылке
В логах видны следы компонентов ComboFix. А лог можете предоставить?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ComboFix не отработал, попросил установить консоль восстановления
что-то никак не получилось ее поставить
карантин отправил
-
Сообщение от
ra4udc
ComboFix не отработал, попросил установить консоль восстановления
Без ее установки (т.е. выбора НЕТ) программа дальше не работает?
Сообщение от
thyrex
Вообще говоря, программа предлагает ее установить. Вы вправе отказаться и выполнение пойдет дальше
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\taran-29\главное меню\программы\автозагрузка\wwwzuc32.exe - Backdoor.Win32.Bredolab.erq ( DrWEB: Trojan.Packed.20265, BitDefender: Trojan.Generic.4009685, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- f:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen, AVAST4: BV:AutoRun-AF [Wrm] )
-