-
Junior Member
- Вес репутации
- 57
Логи после удаления SMS-порно вымогателя
Привет всем. Кому не сложно, посмотрите пожалуйста логи после удаления вируса. Некоторые вещи могу сам исправить, но хотелось бы более опытный взгляд.
Компьютер проверялся: NOD, Dr. Web CureIt!, AVZ. Каждый что-то нашёл, удалил. Правда AVZ ругается на несколько незаражённых файлов. И не запускается NOD.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Отключите восстановление системы
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
QuarantineFile('C:\WINDOWS\system32\dllcache\c_950.nls:RtCd8A','');
QuarantineFile('C:\WINDOWS\system32\fmedia.cpl','');
QuarantineFile('C:\PROGRA~1\BODY-B~1\db_pack.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\c_950.nls:RtCd8A');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
DefesT
Доброго времени суток
Отключите восстановление системы
Отключите компьютер от интернета, а также
антивирус и/или
файрвол.
Закройте все программы, выполните скрипт в AVZ.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил
Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
Восстановление системы отключил уже после восстановления AVZ такой возможности. К интернету не подключен. Антивирус не загружается, по крайней мере в трей не падает, а при запуске вручную (egui.exe) ошибка: Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. Может подскажете как лечить или только переустановка? Скрипт в AVZ выполнил, карантин отправил. Логи прикрепил.
-
выполнить скрипт:
Код:
begin
ExecuteRepair(6);
RebootWindows(true);
end.
После перезагрузки попробовать запустить Нод.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
PavelA
выполнить скрипт:
Код:
begin
ExecuteRepair(6);
RebootWindows(true);
end.
После перезагрузки попробовать запустить Нод.
Очень большое спасибо. Помогло.
-
Junior Member
- Вес репутации
- 57
А что с повторными логами и карантином? Посмотрите пожалуйста.
-
В логах чисто.
обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 57
Всем спасибо.
Тема закрыта.
-
Выполните еще такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\system32\dllcache\c_950.nls:RtCd8A', ''), ',,', ','));
end.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22 ( DrWEB: Program.RemoteAdmin.167 )
-