-
Junior Member
- Вес репутации
- 50
Помогите поймать "виря"
Дорого времени суток.... все началось с того что поймал порно банер, избавился от него..... была изменена таблица маршрутизации - исправил.... файл host тоже поправил.... но после всего проделанного при запуске любого приложения пишет вот такую ошибку: "отказано в доступе к указанному устройству пути или файлу" и только после повторного запуска открывает. Диспетчер задач не открывается, редактор реестра тоже.... сканировал и AVZ и Dr.Web CureIt результат тот же....
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\1j7d7boilik.exe');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\dchvKiz.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\15a65L0.exe','');
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
QuarantineFile('c:\windows\1j7d7boilik.exe','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
SetServiceStart('srv32', 4);
DeleteService('srv32');
DeleteFile('c:\windows\1j7d7boilik.exe');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
DeleteFile('\\?\globalroot\systemroot\system32\15a65L0.exe');
DeleteFile('\\?\globalroot\systemroot\system32\dchvKiz.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kava');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
скрипт выполнен .... прикрепляю новые логи... только вот после того как был выполнен скрипт и ПК перезагрузился при создании новых логов возникала вот такая ошибка...
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Советую в скором порядке обновить систему
-
-
Junior Member
- Вес репутации
- 50
скрипт отработал... диспетчер задач восстановился ....реестр тоже доступен.... ошибок при запуске программ нет... вопрос такой после скрипта появились файлы в папке карантин мне их высылать Вам?
P.S насчет системы хозяина пк предупреждал уже давно...
-
Если файлы в карантине схожи по названию из скрипта сообщения №2, то можно прислать
-
-
Junior Member
- Вес репутации
- 50
нет... там совершенно другое подозрение на C:\WINDOWS\system32\cmdow.exe .... значит можно сказать что лечение закончено... спасибо большое за помощь...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o
-