Поймал порно-блокер. DrWeb Cure It вроде бы вылечил, однако хочется проверить систему на предмет последствий.
Поймал порно-блокер. DrWeb Cure It вроде бы вылечил, однако хочется проверить систему на предмет последствий.
Последний раз редактировалось Tommy-gun; 21.10.2010 в 10:03.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe',''); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); QuarantineFile('\\?\globalroot\systemroot\system32\MdtWejQ.exe',''); QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll',''); DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll'); DeleteFile('\\?\globalroot\systemroot\system32\MdtWejQ.exe'); DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe'); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\r_server.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); QuarantineFile('Acpnssmste.sys',''); DeleteService('Acpnssmste'); DeleteFile('Acpnssmste.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_DeleteFile('Acpnssmste.sys'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Спасибо. Карантин отправил, логи прикрепил.
Последний раз редактировалось Tommy-gun; 21.10.2010 в 10:03.
Remote Administrator - ставили сами?
-Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job'); DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('r_server'); DeleteFile('C:\WINDOWS\system32\r_server.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('r_server'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Готово.
Последний раз редактировалось Tommy-gun; 21.10.2010 в 10:03.
В логе чисто.
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\mdtwejq.exe - Packed.Win32.Katusha.o ( BitDefender: Rootkit.37801, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Tommy-gun, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.