16.05.2010, 16:35 | #1 (ссылка) |
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
Помогите почистить систему от вируса-баннера
Доброго времени суток всем!
Помогите, пожалуйста, удалить последствия вируса. Ситуация следующая - комп чужой, подхватили вирус-баннер, раньше комп уже лечили, но плохо. Сам баннер убили вроде, а вот систему в норму не вернули. Не работает диспетчер задач, командная строка, нет доступа к редактированию реестра, не работает Интернет (браузеры ничего не могут загрузить). Все это не работает и в обычном режиме и в безопасном. AVZ не запускается - при запуске комп тут же уходит в перезагрузку. Запускал с флешки. CureIT некоторое время работает, находит несколько вирусов и зависает. Hijack просканировал и успел сохранить лог. Потом комп ушел в перезагрузку. Лог http://exfile.ru/100754 |
16.05.2010, 17:07 | #4 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Cyber,
Это http://exfile.ru/100760 качать и сохранить на диске вот так C:\KatesKiller.exe Затем выполнить следующую команду: Пуск-Выполнить введите это C:\KatesKiller.exe -l report.txt и выполните. По окончании перезагрузитесь и пришлите report.txt(он рядом с утилиткой) |
16.05.2010, 17:39 | #5 (ссылка) |
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
01pump,
вот лог http://exfile.ru/100762 но ничего не найдено |
16.05.2010, 18:22 | #9 (ссылка) |
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
01pump,
В безопасном режиме сразу ушел в перезагрузку. В обычном режиме выскочила ошибка winlogon.exe - ошибка приложения. Если нажать OK, то комп перезагружается. Если не трогать ничего - avz запустился. Вот лог. |
16.05.2010, 18:25 | #10 (ссылка) |
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('D:\autorun.wsh',''); QuarantineFile('L:\autorun.inf',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espEF90.tmp',''); QuarantineFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espF1A3.tmp',''); QuarantineFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espE72.tmp',''); QuarantineFile('\\?\globalroot\systemroot\system32\YhJdWum.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\Jtal5We.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\GFThk5K.exe',''); QuarantineFile('C:\WINDOWS\system32\591add67.exe',''); QuarantineFile('C:\WINDOWS\system32\30180aa3.exe',''); QuarantineFile('C:\WINDOWS\system32\2f9a93a4.exe',''); QuarantineFile('C:\WINDOWS\System32\netprotocol.exe',''); QuarantineFile('C:\WINDOWS\System32\netprotocol.dll',''); DeleteService('Netprotocol'); SetServiceStart('Netprotocol', 4); QuarantineFile('C:\WINDOWS\system32\okii.dll',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('c:\documents and settings\ВАСЁК\application data\netprotocol.exe',''); TerminateProcessByName('c:\documents and settings\ВАСЁК\application data\netprotocol.exe'); DeleteFile('c:\documents and settings\ВАСЁК\application data\netprotocol.exe'); DeleteFile('C:\WINDOWS\system32\okii.dll'); DeleteFile('C:\WINDOWS\System32\netprotocol.dll'); DeleteFile('C:\WINDOWS\System32\netprotocol.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DeleteFile('C:\WINDOWS\system32\2f9a93a4.exe'); DeleteFile('C:\WINDOWS\system32\30180aa3.exe'); DeleteFile('C:\WINDOWS\system32\591add67.exe'); DeleteFile('\\?\globalroot\systemroot\system32\GFThk5K.exe'); DeleteFile('\\?\globalroot\systemroot\system32\Jtal5We.exe'); DeleteFile('\\?\globalroot\systemroot\system32\YhJdWum.exe'); DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espE72.tmp'); DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espF1A3.tmp'); DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espEF90.tmp'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('L:\autorun.inf'); DeleteFile('D:\autorun.wsh'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. Выполнить скрипт в AVZ. Код:
var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. |
16.05.2010, 19:36 | #12 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Cyber,
Выполните скрипт Код:
begin RegSearch('HKLM', '', 'espEF90.tmp'); RegSearch('HKLM', '', 'espF1A3.tmp'); RegSearch('HKLM', '', 'espE72.tmp'); SaveLog(GetAVZDirectory + 'avz.log'); end. |
16.05.2010, 20:13 | #14 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Cyber,
Выполните этот скрипт Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espEF90.tmp'); DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espF1A3.tmp'); DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espE72.tmp'); RegKeyDel('HKLM','SYSTEM\ControlSet001\Control\Print\Providers\62528A59'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Control\Print\Providers\62528A59'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\62528A59'); RegKeyDel('HKLM','SYSTEM\ControlSet001\Control\Print\Providers\A66C7749'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Control\Print\Providers\A66C7749'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\A66C7749'); RegKeyDel('HKLM','SYSTEM\ControlSet001\Control\Print\Providers\F7D77939'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Control\Print\Providers\F7D77939'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\F7D77939'); ExecuteSysClean; ExecuteRepair(13); RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
помогите избавиться от баннера | ксюша25 | Общение по интересам | 1 | 14.01.2011 22:04 |
помогите с определением вируса | tolik2503 | Безопасность | 0 | 24.12.2010 17:43 |
Помогите избавиться от вируса!!! | IIaHuKa | Безопасность | 9 | 30.08.2010 20:12 |
помогите избавиться от вируса | alex_at | Безопасность | 3 | 08.07.2010 02:31 |
Помогите избавиться от баннера на рабочем столе | Nasia | Безопасность | 3 | 24.03.2010 11:04 |
Помогите избавиться от вируса. | kawasaki | Безопасность | 3 | 03.02.2010 16:11 |
Помогите избавиться от баннера- вымогателя | sergiy | Безопасность | 0 | 13.01.2010 13:43 |
Помогите избавиться от баннера | sergiy | Безопасность | 1 | 07.01.2010 13:17 |
Помогите избавиться от баннера | morfey97 | Безопасность | 3 | 06.11.2009 18:12 |
Помогите избавится от вируса | NataliT | Безопасность | 11 | 21.09.2009 23:33 |