Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Здравствуйте.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\7299f434.exe','');QuarantineFile('c:\windows\system32\teouyn.exe','');QuarantineFile('C:\WINDOWS\system32\qpxgmcr.exe','');QuarantineFile('C:\WINDOWS\system32\nygcrxp.exe','');QuarantineFile('C:\WINDOWS\system32\tjfdvje.exe','');QuarantineFile('C:\WINDOWS\system32\dqcagar.exe','');QuarantineFile('C:\WINDOWS\system32\dlzsvso.exe','');QuarantineFile('C:\WINDOWS\system32\alzurav.exe','');QuarantineFile('C:\WINDOWS\system32\wpqilui.exe','');QuarantineFile('C:\WINDOWS\system32\sdgvokj.exe','');DeleteFile('C:\WINDOWS\system32\qpxgmcr.exe');DeleteFile('C:\WINDOWS\system32\nygcrxp.exe');DeleteFile('C:\WINDOWS\system32\tjfdvje.exe');DeleteFile('C:\WINDOWS\system32\dqcagar.exe');DeleteFile('C:\WINDOWS\system32\dlzsvso.exe');DeleteFile('C:\WINDOWS\system32\alzurav.exe');DeleteFile('C:\WINDOWS\system32\wpqilui.exe');DeleteFile('C:\WINDOWS\system32\sdgvokj.exe');DeleteFile('c:\windows\system32\7299f434.exe');DeleteFile('c:\windows\system32\teouyn.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end.

Компьютер перезагрузится

Выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

В HijackThis пофиксить строку

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7299f434.exe,C:\WINDOWS\system32\teouyn.exe,

Загрузите нормальную версию авз http://z-oleg.com/avz4.zip

Обновите базы, повторите логи

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Link to comment
Share on other sites

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Версия базы данных: 4312

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

14.07.2010 13:52:28

mbam-log-2010-07-14 (13-52-28).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)

Просканированные объекты: 216222

Времени прошло: 1 часов, 25 минут, 1 секунд

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 0

Зараженные параметры в реестре: 4

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 12

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:

(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Объекты реестра заражены:

(Вредоносных программ не обнаружено)

Зараженные папки:

(Вредоносных программ не обнаружено)

Зараженные файлы:

D:\Kamael Hellbound RelaX\system_kamael\system\Fire.dll (Malware.Packer.T) -> No action taken.

D:\Рабочий стол\AgentSetup.exe (Rogue.Installer) -> No action taken.

D:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0122470.dll (Malware.Packer.T) -> No action taken.

E:\Games\Call of Duty 4 - Modern Warfare\таблетка\генератор ключей.exe (Trojan.Agent.CK) -> No action taken.

E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114681.Vexe (Worm.WuKill) -> No action taken.

E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114682.Vexe (Worm.WuKill) -> No action taken.

E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0120935.exe (Adware.Agent) -> No action taken.

E:\system_kamael\system_kamael\system\Fire.dll (Malware.Packer.T) -> No action taken.

E:\Новая папка\Adobe Photoshop Lightroom ver 2.1.51220 for Win (x32x64) + RUS\keygen.exe (Malware.Packer.Gen) -> No action taken.

E:\Новая папка\Select.Edition\office_12.0.6425.1000_Select_ru-ru\Crack\msa2007kg.exe (Hacktool.Agent) -> No action taken.

E:\Новая папка\Select.Edition\office_12.0.6425.1000_Select_ru-ru\Crack\msoe2007kg.exe (RiskWare.Tool.CK) -> No action taken.

C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

удалять заражонное?

Link to comment
Share on other sites

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0122470.dll','');QuarantineFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114681.Vexe','');QuarantineFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114682.Vexe','');QuarantineFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0120935.exe','');QuarantineFile('C:\Program Files\Common Files\keylog.txt','');DeleteFile('C:\Program Files\Common Files\keylog.txt');DeleteFile('D:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0122470.dll');DeleteFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114681.Vexe');DeleteFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP74\A0114682.Vexe');DeleteFile('E:\System Volume Information\_restore{908F6CB1-9704-4ADC-B2CF-52F0DE1D8C94}\RP77\A0120935.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Удалите в МВАМ

Зараженные параметры в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Лог RSIT так-же сделайте.

Link to comment
Share on other sites

непойму как выполнить

Зараженные параметры в реестре:

Код

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

info.txt

log.txt

info.txt

log.txt

Link to comment
Share on other sites

после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете)

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\zrccjwc.exe','');DeleteFile('C:\WINDOWS\system32\zrccjwc.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

+

Скачайте http://www.freedrweb.com/cureit/ проведите проверку, о результатах отпишитесь

Повторите логи.

Link to comment
Share on other sites

Где контрольные логи которые я просил сделать?

Результаты карантина

2010-07-14.zip/2010-07-14/avz00008.dta - инфицирован Backdoor.Win32.Shiz.kr

2010-07-14.zip/2010-07-14/avz00009.dta - инфицирован Backdoor.Win32.Shiz.kr

2010-07-14.zip/2010-07-14/avz00010.dta - инфицирован Backdoor.Win32.Shiz.kr

Link to comment
Share on other sites

Файлы которые делать через АВЗ может быть неправельные потомушто программа дела файлы и вконце зависала (после обнавления это начелось) и ешё раз спасибо

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

выполните скрипт авз

beginRegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');end.

Других проблем не вижу, будьте здоровы.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...