-
Junior Member
- Вес репутации
- 51
Оригинальная задача
Задача:
Есть удаленный компьютер с доступом через TeamViewer. На компьютере установлена программа "Астер" (2 рабочих места). Остановить аваст нет возможности. Был в наличии csrcs.exe. Что-то еще осталось, т.к. тормозит сильно и пытается блокировать как удаленный доступ, так и работу приложений. На компьютере есть 2 пользователя: Администратор и Пользователь Влияние вируса или его последствий проявляется от учетной записи Администратора, от имени Пользователя работает относительно стабильно.
Вложение 257437
Вложение 257438
virusinfo_syscheck.zip после выполнения скрипта не обнаружен в папке AVZ4\Logs
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\1AE35~1\LOCALS~1\Temp\bldjad.exe,userinit.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Pandion\Application\pandion.exe','');
QuarantineFile('C:\DOCUME~1\1AE35~1\LOCALS~1\Temp\bldjad.exe','');
DeleteFile('C:\DOCUME~1\1AE35~1\LOCALS~1\Temp\bldjad.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Обновите базы, повторите логи
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось AndreyKa; 04.08.2010 в 13:34.
Причина: Убрал карантин
-
Где было сказано карантин к сообщению цеплять, уберите немедленно!
Добавлено через 1 минуту
Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Сообщение от
Olejah
- Обновите базы
Это почему не выполнено?
Последний раз редактировалось olejah; 04.08.2010 в 12:38.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Мои извинения, не тот лог
Последний раз редактировалось AndreyKa; 07.08.2010 в 20:44.
-
Какая на компьютере используется видео карта, встроенная Intel или ATI?
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
DelCLSID('{96AFBE69-C3B0-4b00-8578-D933D2896EE2}');
QuarantineFile('C:\WINDOWS\system32\sysinit.exe','');
QuarantineFile('c:\documents and settings\all users.windows\application data\adobe\sp.dll','');
QuarantineFile('C:\WINDOWS\system32\opvclou.exe','');
DeleteFile('C:\WINDOWS\system32\opvclou.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-