SrchPlug.dll

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ati2rwxx', 4);SetServiceStart('Oty27', 4);SetServiceStart('FlyDrv', 4);SetServiceStart('ati8joxx', 4);SetServiceStart('ati7puxx', 4);QuarantineFile('C:\WINDOWS\SrchPlug.dll','');QuarantineFile('c:\windows\system32\guard32.dll','');QuarantineFile('kdmpc.exe','');QuarantineFile('autorun.bat','');QuarantineFile('D:\teleauth.exe','');QuarantineFile('C:\WINDOWS\system32\kdmpc.exe','');QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Oty27.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ati8joxx.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ati7puxx.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ati2rwxx.sys','');QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe','');DeleteFile('C:\WINDOWS\System32\Drivers\ati2rwxx.sys');DeleteFile('C:\WINDOWS\System32\Drivers\ati7puxx.sys');DeleteFile('C:\WINDOWS\System32\Drivers\ati8joxx.sys');DeleteFile('C:\DOCUME~1\BRAIN~2.HOM\LOCALS~1\Temp\Rar$EX00.187\FlyDrv.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oty27.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Tye40.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ubg84.sys');DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe');DeleteFile('C:\WINDOWS\services.exe');DeleteFile('C:\WINDOWS\system32\kdmpc.exe');DeleteFile('D:\teleauth.exe');DeleteFile('autorun.bat');DeleteFile('kdmpc.exe');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteFile('C:\WINDOWS\SrchPlug.dll');DeleteFile('C:\Documents and Settings\Brain\Local Settings\Temp\~DFC27F.tmp');DeleteFile('C:\autorun.wsh');DeleteFile('D:\autorun.wsh');DeleteService('Ubg84');DeleteService('Tye40');DeleteService('FlyDrv');DeleteService('Oty27');DeleteService('ati7puxx');DeleteService('ati2rwxx');DeleteService('ati8joxx');DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');DelBHO('{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 	F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat

Ваш провайдер?

85.255.112.0 - 85.255.127.255
UkrTeleGroup Ltd.

Ukraine

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

UkrTeleGroup

Источник: whois.ripe.net

Если нет, то пофиксить

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.117O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.117O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.117

Повторите логи.

**trace123** · 1 декабря, 2008

Как фиксить в hijackthis?

**akoK** · 1 декабря, 2008

Как "пофиксить" с помощью HijackThis

В карантин ничего интересного не попало.

**trace123** · 1 декабря, 2008

Указанных вами строчек нету.

Ой, сори нашел.

Нету только этой F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat

Войти

SrchPlug.dll

Рекомендуемые сообщения

trace123

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

trace123

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

trace123

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

trace123

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

trace123

Ссылка на комментарий

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность