Лечение после того, как баннер убрался

barmax3 · 17.05.2010, 23:32

Что нужно для лечения после того, как рекламный баннер убрался?
Log следующий:
http://exfile.ru/101195

snifer67 · 18.05.2010, 00:05

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\sdzmb02.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ApBzWBY.exe','');
 DeleteService('hpdj');
 QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
 DeleteFile('C:\WINDOWS\system32\srnh.lto');
 DeleteFile('C:\Temp\hpdj.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ApBzWBY.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\sdzmb02.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится.

Выполнить скрипт в AVZ.

Код:

var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)
Сделайте новые логи.

barmax3 · 18.05.2010, 00:58

Выполнил твои скрипты.
Ссылка на новый Log:
http://exfile.ru/101233

winshelp · 18.05.2010, 02:04

barmax3, здравствуйте.

Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Закройте/выгрузите все программы кроме AVZ.
Как выполнять скрипт и фиксить читаем здесь: http://pchelpforum.ru/f26/t24207/

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Выполнить в AVZ еще такой скрипт:

Код:

begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите файл fystemRoot.log из диретории AVZ.

barmax3 · 18.05.2010, 22:28

http://exfile.ru/101437 - файл virusinfo_syscheck.zip
http://exfile.ru/101438 - файл fystemRoot.log

winshelp · 19.05.2010, 02:30

barmax3, покореженные ветки реестра и ошибки системы исправили.
Но еще выложите лог программы HiJackThis.

Если не пользуетесь Др. Веб то удалите из планировщика задач вот это.
C:\WINDOWS\Tasks\Dr.Web Update.job

barmax3 · 19.05.2010, 20:48

Ссылка Хайджека:
http://exfile.ru/101716

snifer67 · 19.05.2010, 20:51

Пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\sdzmb02.exe,\\?\globalroot\systemroot\system32\ApBzWBY.exe,

ПК перезагрузите.

Больше плохого не увидел.

barmax3 · 19.05.2010, 21:00

Спасибо большое. Проблемы вроде бы все ушли!

winshelp · 19.05.2010, 21:21

barmax3.
Откройте это сайт: http://df.ru/~kad/ScanVuln.txt
Выполните скрипт в AVZ который есть в тексте на сайте, внимательно вставляем все содержимое текста.
После выполнения скрипта, в директории AVZ в папке LOG будет создан файл avz_log.txt
Откройте этот файл, там будут описание уязвимостей вашей системы с сылками на закачку заплаток.
Скачайте и установите заплатки!!!

---------- Добавлено в 16:21 ---------- Предыдущее сообщение было написано в 16:21 ----------

Успехов!

17.05.2010, 23:32	#1 (ссылка)
barmax3 Новичок Регистрация: 16.05.2010 Сообщений: 12 Репутация: 0	Лечение после того, как баннер убрался Что нужно для лечения после того, как рекламный баннер убрался? Log следующий: http://exfile.ru/101195

19.05.2010, 20:51	#8 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	Пофиксить в HijackThis Код: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\sdzmb02.exe,\\?\globalroot\systemroot\system32\ApBzWBY.exe, ПК перезагрузите. Больше плохого не увидел.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
После того как заменили материнку..	Boyan	Неисправности, настройка	2	23.12.2010 01:28
Нужен скрипт на лечение!!	sasho	Безопасность	4	16.12.2010 16:56
лечение компа по LOG файлам!!!	Parliament	Безопасность	4	01.10.2010 22:04
Шипят колонки! После того как поменял win.	Koresh	Неисправности, настройка	7	14.09.2010 18:46
Лечение оперы	dimas5552	Интернет и сети	1	22.07.2010 22:06
Скрипт на лечение	smik	Безопасность	10	12.05.2010 15:20
Решено: Лечение смс баннера в безопасном режиме	gendos9	Безопасность	32	22.03.2010 19:57
Не работает(читает) CD,DVD и флешки. После того как я делал приводы в daemon.	Artem95	Железо	9	28.02.2010 14:54
После лазания по инету на рабочем столе появился баннер эротического содержания	алмаз	Безопасность	1	15.01.2010 23:23
Проблема при установке сетевого принтера после того, как убрал пароль	Simon666	Периферия	0	12.11.2008 21:09

18.05.2010, 00:58	#3 (ссылка)
barmax3 Новичок Регистрация: 16.05.2010 Сообщений: 12 Репутация: 0	Выполнил твои скрипты. Ссылка на новый Log: http://exfile.ru/101233

18.05.2010, 22:28	#5 (ссылка)
barmax3 Новичок Регистрация: 16.05.2010 Сообщений: 12 Репутация: 0	http://exfile.ru/101437 - файл virusinfo_syscheck.zip http://exfile.ru/101438 - файл fystemRoot.log

19.05.2010, 02:30	#6 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	barmax3, покореженные ветки реестра и ошибки системы исправили. Но еще выложите лог программы HiJackThis. Если не пользуетесь Др. Веб то удалите из планировщика задач вот это. C:\WINDOWS\Tasks\Dr.Web Update.job

19.05.2010, 20:48	#7 (ссылка)
barmax3 Новичок Регистрация: 16.05.2010 Сообщений: 12 Репутация: 0	Ссылка Хайджека: http://exfile.ru/101716

19.05.2010, 21:00	#9 (ссылка)
barmax3 Новичок Регистрация: 16.05.2010 Сообщений: 12 Репутация: 0	Спасибо большое. Проблемы вроде бы все ушли!

19.05.2010, 21:21	#10 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	barmax3. Откройте это сайт: http://df.ru/~kad/ScanVuln.txt Выполните скрипт в AVZ который есть в тексте на сайте, внимательно вставляем все содержимое текста. После выполнения скрипта, в директории AVZ в папке LOG будет создан файл avz_log.txt Откройте этот файл, там будут описание уязвимостей вашей системы с сылками на закачку заплаток. Скачайте и установите заплатки!!! ---------- Добавлено в 16:21 ---------- Предыдущее сообщение было написано в 16:21 ---------- Успехов!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads