Главная Стартовая Блоги Правила Справка Сообщество Календарь Сообщения за день Поиск

Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
Перезагрузить страницу Помогите избавиться...
 
 
Опции темы
Старый 14.01.2010, 15:46   #1 (ссылка)
Новичок
 
Регистрация: 14.01.2010
Сообщений: 4
Репутация: 0
По умолчанию Помогите избавиться...
Всем привет. Помогите, пожалуйста избавиться от мерзости.
Началось все с блокировки с СМС активаций. AVZ не запускался. Снял блокировку генератором кода. Прогнал AVZ, еще какие-то антивирусы. В итоге NOD32 'C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe'
А при загрузке RUNDLL окошко ругается на tapi.info.

Прогнал AVZ согласно http://pchelpforum.ru/f26/t6442/#post37758.
В папке LOG получилось два файла virusinfo_syscheck и virusinfo_files_Acer-
Соответственно первый:
http://exfile.ru/77630


Заранее спасибо!
Telcos вне форума  
Старый 14.01.2010, 15:55   #2 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию
Telcos,
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:
Код:
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
DeleteService('Nups');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('tapi.nfo');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(16);
RebootWindows(true);
end.
затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог hijackthis
01pump вне форума  
Старый 14.01.2010, 16:14   #3 (ссылка)
Новичок
 
Регистрация: 14.01.2010
Сообщений: 4
Репутация: 0
По умолчанию
Спасибо большое!

virusinfo_syscheck.zip:
http://exfile.ru/77639
hijackthis:
http://exfile.ru/77641
Telcos вне форума  
Старый 14.01.2010, 16:19   #4 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию
Telcos,

Выполнить этот скрипт

Код:
 
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else 
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin 
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
После перезагрузки снова выполнить стандартный скрипт №2 (virusinfo_syscheck.zip) и еще прислать из папки avz файл fystemRoot.log
01pump вне форума  
Старый 14.01.2010, 16:27   #5 (ссылка)
Новичок
 
Регистрация: 14.01.2010
Сообщений: 4
Репутация: 0
По умолчанию
Забыл сказать, что после первого скрипта ошибка про tapi.info пропала и пока больше не появлялась.
После выполнения последнего скрипта машина сама на перезагрузку не ушла. Перегрузил вручную.

Новый virusinfo_syscheck.zip:
http://exfile.ru/77644
fystemRoot.log:
http://exfile.ru/77645
Telcos вне форума  
Старый 14.01.2010, 16:35   #6 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию
Telcos,
Последним скриптом мы исправили проблему с обновлением системы (которое погрыз один из вирусов). Там перезагрузки и не должно было быть

Итак что с вашими проблемами? Судя по логам исправлены.
01pump вне форума  
Старый 14.01.2010, 16:40   #7 (ссылка)
Новичок
 
Регистрация: 14.01.2010
Сообщений: 4
Репутация: 0
По умолчанию
Пока все в порядке.
Если что-то проявится, напишу в этот же трек.
Спасибо еще раз!
Telcos вне форума  
Ads
 

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
помогите избавиться от баннера ксюша25 Общение по интересам 1 14.01.2011 22:04
Помогите избавиться от вирусов! XOMbl4 Безопасность 13 09.12.2010 09:56
Помогите избавиться от вирусов JIM-TOXA Безопасность 13 03.09.2010 00:20
Помогите избавиться от вируса!!! IIaHuKa Безопасность 9 30.08.2010 20:12
помогите избавиться от вируса alex_at Безопасность 3 08.07.2010 02:31
Помогите избавиться от csrss.exe Poselentsev Безопасность 13 05.05.2010 21:38
Помогите избавиться от вирусов Vikulja Безопасность 5 15.02.2010 18:39
Помогите избавиться от баннера sergiy Безопасность 1 07.01.2010 13:17
помогите избавиться от каки ADevil Безопасность 0 13.12.2009 18:05
Помогите избавиться от баннера morfey97 Безопасность 3 06.11.2009 18:12


Текущее время: 15:58. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.
Обратная связь - Компьютерный форум - Вверх