-
Junior Member
- Вес репутации
- 54
Блокер
ПК Заблокировался, порнобанер, в Безопасный грузится не хотел ругался на Деймон Тулс (sptd.sys) Загрузился с LiveCD в реестре поправил в разделе
Цитата:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws NT\CurrentVersion\Winlogon
Shell был пропатчен и Userinit
В первом C:\Program Files\Internet Explorer\instal.exe
во втором, к сожалению удалил, не сохранив... но что то по типу \\?\globalroot\systemroot\system32......
Логи
AVZ пока выполняется
есть карантин:
Файл сохранён как 100810_125554_virus_4c61141ae6cfc.zip
Размер файла 9071524
MD5 b9a3e8508fcf341c94fdde112efaff1e
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
StopService('rpcmgr');
StopService('acpi24Drv');
StopService('acpi24');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
QuarantineFile('C:\WINDOWS\system32\srsvc.dll','');
QuarantineFile('C:\WINDOWS\system32\rpcmgr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\update.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Mup.sys','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4v32.dll','');
QuarantineFile('C:\PROGRA~1\vshdf\wgoqw.dlc','');
QuarantineFile('C:\PROGRA~1\StormII\ifigu.lib','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Storm\update\jlslh.lib','');
DeleteService('rpcmgr');
DeleteService('acpi24Drv');
DeleteService('acpi24');
DeleteFile('C:\WINDOWS\system32\rpcmgr.sys');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\WINDOWS\system32\acpi24.exe');
DeleteFile('C:\WINDOWS\system32\6to4v32.dll');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
BC_DeleteSvc('rpcmgr');
BC_DeleteSvc('acpi24Drv');
BC_DeleteSvc('acpi24');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
карантин закачал, ток не сохранил MD5
-
Договариваемся с Вами так: Вы делаете ВСЁ, что нужно, ПОТОМ пишете ответ. Не надо на одно сообщение хелперов отвечать короткими очредями.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.
-
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gobiu.exe','');
QuarantineFile('c:\progra~1\vshdf\wgoqw.dlc','');
DeleteFile('c:\progra~1\vshdf\wgoqw.dlc');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gobiu.exe');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'virus_1.zip');
RebootWindows(true);
end.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
ПОСЛЕ УСТАНОВКИ СП3+ОБНОВЛЕНИЙ+ИЕ8
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
ДРУГИХ ЛОГОВ ДЕЛАТЬ НЕ НАДО.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Rene-gad
Файл сохранён как 100811_075641_quarantine_4c621f793b239.zip
Размер файла 252912
MD5 730b720aaa8500bbe95eca1c5dd978e2
Сообщение от
Rene-gad
- Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
ПОСЛЕ УСТАНОВКИ СП3+ОБНОВЛЕНИЙ+ИЕ8
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
ДРУГИХ ЛОГОВ ДЕЛАТЬ НЕ НАДО.
Сервис пак 3 не ставится, принт-скрин смотрите
остальное выполнил
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.
-
Junior Member
- Вес репутации
- 54
все.. разобрался, исправил.. сейчас СП_3 установлю (Boot.ini поправил, там какой то "левый" прибамбас для винды грузился
Добавлено через 4 часа 5 минут
что то опять не так?
Последний раз редактировалось steel-prom; 11.08.2010 в 12:05.
Причина: Добавлено
-
Логи после установки Сервис Пака - в студию.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.
-
C:\PROGRA~1\StormII\ifigu.lib Trojan-PSW.Win32.Bjlog.lds Что это за игра? Удалите плиз.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
DeleteFile('C:\PROGRA~1\StormII\ifigu.lib');
DeleteFileMask('C:\PROGRA~1\StormII\','*.*',true);
DeleteDirectory('C:\PROGRA~1\StormII\');
DeleteFile('C:\PROGRA~1\vshdf\wgoqw.dlc');
DeleteFileMask('C:\PROGRA~1\vshdf\','*.*',true);
DeleteDirectory('C:\PROGRA~1\vshdf\');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmdmpmsp\Parameters','ServiceDll');
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось Rene-gad; 11.08.2010 в 12:48.
Причина: скрипт исправлен
-
-
Junior Member
- Вес репутации
- 54
а то в предыдущем карантине?
все норм?
в скрипте ошибка...
DeleteDirectory('C:\PROGRA~1\StormII\'');
-
Сообщение от
steel-prom
а то в предыдущем карантине?
То, что норм, не удаляем.
Сообщение от
steel-prom
в скрипте ошибка...
В самом деле ошибка, подправил скрипт. Выполняйте
-
-
Junior Member
- Вес репутации
- 54
ок, логи сделать по пункту 2?
-
Сообщение от
steel-prom
ок, логи сделать по пункту 2?
...а так же 1 и 3
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.
-
..а так же п. 1 Диагностики.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.
-
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
DeleteFile('C:\PROGRA~1\vshdf\wgoqw.dlc');
DeleteFileMask('C:\PROGRA~1\vshdf\','*.*',true);
DeleteDirectory('C:\PROGRA~1\vshdf\');
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 03.09.2010 в 07:22.