Прошу помочь мне избавиться от autorun.inf

ASA777 · 21.05.2010, 21:36

При попытке удаления autorun.inf с флэшек пишет нет доступа или файл уже используется. На флэшках создается папка ZLOBNE.
Логи тут: http://slil.ru/29178400

winshelp · 21.05.2010, 21:52

ASA777, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Закройте/выгрузите все программы кроме AVZ.
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Student\csrss.exe','');
DeleteFile('C:\Documents and Settings\Student\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by
------
Скачайте антируткитную программу Gmer:
http://www.gmer.net/download.php
http://www.gmer.net/gmer.zip
Отключите на время все защитное ПО и закройте все программы кроме Gmer!!!
Запустите программу.
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
Device
IAT/EAT

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки.
При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) например gmer.log
залейте на файлообменник, выложите ссылку в Вашей теме.

ASA777 · 25.05.2010, 16:01

все сделал, архив карантина AVZ послал на указанный адрес со своего почтового адреса, т.к. остюда не отсылался.
Лог Gmer тут: http://slil.ru/29199554

winshelp · 25.05.2010, 23:25

ASA777.
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы.
Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

Код:

gmer.exe -del service vqbjk
gmer.exe -del file "C:\WINDOWS\C:\WINDOWS\system32\jpbhmf.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vqbjk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vqbjk"
gmer.exe -reboot

Компьютер перезагрузится.
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум

ASA777 · 26.05.2010, 14:41

ссылка на virusinfo_syscheck.zip: http://exfile.ru/103501

winshelp · 26.05.2010, 14:54

ASA777, руткит мы удалили!
Больше ни чего плохого не видно.
---
Остался вопрос с сервером Радмина.
Ответьте на вопрос - Radmin в систему сами ставили???

ASA777 · 26.05.2010, 15:49

Да, Радмин мы когда-то сами ставили, но так как-то и не пользовались

СПАСИБО ОГРОМНОЕ

winshelp · 26.05.2010, 15:51

Если радмин ваш, тогда порядок!
Успехов!

21.05.2010, 21:36	#1 (ссылка)
ASA777 Новичок Регистрация: 13.05.2010 Сообщений: 4 Репутация: 0	Прошу помочь мне избавиться от autorun.inf При попытке удаления autorun.inf с флэшек пишет нет доступа или файл уже используется. На флэшках создается папка ZLOBNE. Логи тут: http://slil.ru/29178400 Последний раз редактировалось 01pump; 22.05.2010 в 12:12.

21.05.2010, 21:52	#2 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	ASA777, здравствуйте. Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Закройте/выгрузите все программы кроме AVZ. Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Student\csrss.exe',''); DeleteFile('C:\Documents and Settings\Student\csrss.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. ----- Выполнить еще такой скрипт в AVZ. Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by ------ Скачайте антируткитную программу Gmer: http://www.gmer.net/download.php http://www.gmer.net/gmer.zip Отключите на время все защитное ПО и закройте все программы кроме Gmer!!! Запустите программу. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections Device IAT/EAT Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) например gmer.log залейте на файлообменник, выложите ссылку в Вашей теме.

25.05.2010, 23:25	#4 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	ASA777. Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run) Код: gmer.exe -del service vqbjk gmer.exe -del file "C:\WINDOWS\C:\WINDOWS\system32\jpbhmf.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vqbjk" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vqbjk" gmer.exe -reboot Компьютер перезагрузится. Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Прошу помочь	МИТРОХА	Неисправности, настройка	12	04.01.2011 21:59
Прошу помочь в проблеме	lamps	Неисправности, настройка	2	04.01.2011 19:25
Прошу помочь в выборе системы 5.1	Boss45	Мультимедиа	3	26.12.2010 14:55
Прошу помочь определиться	WeXX	Выбор комплектующих	5	18.10.2010 16:50
Прошу помочь!	Architector	Windows 7	6	14.09.2010 07:02
Прошу помочь с Windows!	Dron23	Неисправности, настройка	9	01.09.2010 02:02
Прошу помочь	Assolin	Безопасность	10	30.06.2010 14:16
Прошу помочь такого я еще не видел((	TeRRoRR@	Безопасность	7	20.09.2009 19:17
Прошу помочь, проблема при загрузке.	kLendan	Безопасность	2	07.11.2008 10:54
Прошу помочь!	Olen	Железо	5	27.08.2008 19:35
Остатки IE 6, прошу помочь	alexata	Интернет и сети	1	21.04.2008 20:20

25.05.2010, 16:01	#3 (ссылка)
ASA777 Новичок Регистрация: 13.05.2010 Сообщений: 4 Репутация: 0	все сделал, архив карантина AVZ послал на указанный адрес со своего почтового адреса, т.к. остюда не отсылался. Лог Gmer тут: http://slil.ru/29199554

26.05.2010, 14:41	#5 (ссылка)
ASA777 Новичок Регистрация: 13.05.2010 Сообщений: 4 Репутация: 0	ссылка на virusinfo_syscheck.zip: http://exfile.ru/103501

26.05.2010, 14:54	#6 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	ASA777, руткит мы удалили! Больше ни чего плохого не видно. --- Остался вопрос с сервером Радмина. Ответьте на вопрос - Radmin в систему сами ставили???

26.05.2010, 15:49	#7 (ссылка)
ASA777 Новичок Регистрация: 13.05.2010 Сообщений: 4 Репутация: 0	Да, Радмин мы когда-то сами ставили, но так как-то и не пользовались СПАСИБО ОГРОМНОЕ

26.05.2010, 15:51	#8 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Если радмин ваш, тогда порядок! Успехов!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads