 |
|
|
18.03.2010, 17:55
|
#4 (ссылка) |
|
Знаток
|
Ferera, отключите восстановление системы!!!
Профиксите в ХиДжек: Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Scheduled Update for Ask Toolbar.job');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\WINDOWS\system32\hidec');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки почистить браузер Оперу. |
|
|
19.03.2010, 00:48
|
#8 (ссылка) |
|
Знаток
|
Ferera, такое впечатление словно не выполняли скрипт, опять сидят те же зловреды.
---------- Добавлено в 20:48 ---------- Предыдущее сообщение было написано в 20:39 ---------- Проделайте следующее: Пуск – Выполнить – cmd Вставляем: Код:
sc stop "Bonjour Service" Далее вставляем: Код:
sc delete "Bonjour Service" Перегружаем компьютер. Выполняем лог №3 + лог HJT. |
|
|
| Ads | |
|
19.03.2010, 10:49
|
#10 (ссылка) |
|
Знаток
|
Отключите компьютер от Интернет/локалки.
Закройте/выгрузите все программы, чтобы не мешали выполнению скрипта. Профиксите в HiJackThis: Код:
R3 - URLSearchHook: (no name) - - (no file) O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\WINDOWS\Scheduled Update for Ask Toolbar.job');
DeleteFile('C:\WINDOWS\system32\hidec');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Обновите логи. |
|
|
|
19.03.2010, 16:18
|
#12 (ссылка) | |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Цитата:
ОБЯЗАТЕЛЬНО НА ВРЕМЯ ЛЕЧЕНИЯ ОТКЛЮЧИТЬ ВОССТАНОВЛЕНИЕ СИСТЕМЫ!!!!!!!!!!!!!! Выполните скрипт в AVZ: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_DeleteFile('C:\WINDOWS\system32\hidec');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
|
19.03.2010, 17:18
|
#13 (ссылка) |
|
Новичок
Регистрация: 04.04.2009
Сообщений: 157
Репутация: 0
|
я восстановление системы еще в первом посте убрал, сейчас проверил, тоже убрано)
---------- Добавлено в 17:18 ---------- Предыдущее сообщение было написано в 17:00 ---------- http://www.save-files.ru/download.ph...c92ea6d90407a5 http://www.save-files.ru/download.ph...14d3c554f91f5e |
|
|
|
19.03.2010, 18:11
|
#14 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Странно,вирусы не удаляются.
1. Скачайте установочный файл mbam-setup.exe , скачивающая ссылка находится на странице http://www.malwarebytes.org/mbam-download.php 2. Установите ее по стандартному пути с настройками по умолчанию. 3. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний). 4. По окончании сканирования будет сгенерирован лог. 5. Прикрепите его без переименования к Вашему следующему сообщению. После выполненя скрипта перезагрузка была? |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| есть подозрение на вирусы | nail58 | Безопасность | 12 | 16.01.2011 23:09 |
| Подозрение на вирусы. | Sinlol | Безопасность | 10 | 04.01.2011 22:42 |
| Подозрение на вирусы | Istarion | Безопасность | 6 | 11.11.2010 21:33 |
| Есть подозрение на вирусы | nekto202 | Безопасность | 5 | 09.11.2010 01:24 |
| Подозрение на вирусы,Нод 32 не обновляется... | Константин51 | Безопасность | 4 | 08.11.2010 23:08 |
| Подозрение на вирусы. | SacredHash | Безопасность | 0 | 02.09.2010 19:56 |
| Подозрение на вирусы | Слепой Пью | Безопасность | 2 | 07.06.2010 16:47 |
| Подозрение на вирусы | Настя5 | Безопасность | 1 | 31.03.2010 21:47 |
| Подозрение на вирусы | Vo Vo | Безопасность | 4 | 13.03.2010 10:35 |
| Есть подозрение на вирусы | серый кот | Безопасность | 9 | 25.01.2010 18:43 |
| Подозрение на вирусы | isx | Безопасность | 12 | 17.01.2010 20:22 |
