Компьютерный форум

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Прошу помочь мне избавиться от autorun.inf (http://pchelpforum.ru/showthread.php?t=28416)

ASA777 21.05.2010 21:36
Прошу помочь мне избавиться от autorun.inf
 
При попытке удаления autorun.inf с флэшек пишет нет доступа или файл уже используется. На флэшках создается папка ZLOBNE.
Логи тут: http://slil.ru/29178400

winshelp 21.05.2010 21:52
ASA777, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Закройте/выгрузите все программы кроме AVZ.
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Student\csrss.exe','');
DeleteFile('C:\Documents and Settings\Student\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by
------
Скачайте антируткитную программу Gmer:
http://www.gmer.net/download.php
http://www.gmer.net/gmer.zip
Отключите на время все защитное ПО и закройте все программы кроме Gmer!!!
Запустите программу.
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
Device
IAT/EAT

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки.
При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) например gmer.log
залейте на файлообменник, выложите ссылку в Вашей теме.

ASA777 25.05.2010 16:01
все сделал, архив карантина AVZ послал на указанный адрес со своего почтового адреса, т.к. остюда не отсылался.
Лог Gmer тут: http://slil.ru/29199554

winshelp 25.05.2010 23:25
ASA777.
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы.
Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
gmer.exe -del service vqbjk
gmer.exe -del file "C:\WINDOWS\C:\WINDOWS\system32\jpbhmf.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vqbjk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vqbjk"
gmer.exe -reboot
Компьютер перезагрузится.
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум

ASA777 26.05.2010 14:41
ссылка на virusinfo_syscheck.zip: http://exfile.ru/103501

winshelp 26.05.2010 14:54
ASA777, руткит мы удалили!
Больше ни чего плохого не видно.
---
Остался вопрос с сервером Радмина.
Ответьте на вопрос - Radmin в систему сами ставили???

ASA777 26.05.2010 15:49
Да, Радмин мы когда-то сами ставили, но так как-то и не пользовались :)
СПАСИБО ОГРОМНОЕ :)

winshelp 26.05.2010 15:51
Если радмин ваш, тогда порядок!
Успехов! :)


Текущее время: 11:18. Часовой пояс GMT +4.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.