02.09.2011, 17:12 | #1 (ссылка) |
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
выручайте, keylogger
помогите пожалуйста почистить компьютер, есть подозрения, что завелся червячок keylogger, помогите распрощаться с ним.
лог с AVZ - http://rghost.ru/20212921 лог с HiJackThis - http://rghost.ru/20213281 P.S. еще есть проблема с включением компьютера, он включается со 2-го раза, т.е. ты его включаешь, он вместо включения, завершает сеанс ( переходит к выбору пользователя, затем выбираешь пользователя, он заходит в систему, но ты ничего не можешь нажать, пишет, что у вас нет прав для данного действия ), потом с кнопки его перезагружаешь и он нормально включается, может подскажете что-нибудь по этому поводу? Последний раз редактировалось Clo0wn; 02.09.2011 в 17:24. |
02.09.2011, 17:23 | #2 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/ Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP151\A0105817.exe',''); QuarantineFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP149\A0101454.exe',''); QuarantineFile('C:\WINDOWS\ime\svchost.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX02.968\Christmas.exe',''); QuarantineFile('C:\WINDOWS\system32\019.tmp',''); QuarantineFile('c:\program files\common files\spigot\search settings\searchsettings.exe',''); TerminateProcessByName('c:\program files\common files\spigot\search settings\searchsettings.exe'); DeleteFile('c:\program files\common files\spigot\search settings\searchsettings.exe'); DeleteFile('C:\WINDOWS\system32\019.tmp'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX02.968\Christmas.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChristmasTree'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings'); DeleteFile('C:\WINDOWS\ime\svchost.exe'); DeleteService('kfcel'); DeleteService('etiog'); DeleteFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP149\A0101454.exe'); DeleteFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP151\A0105817.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Пришлите quarantine.zip сюда sendvirus2011@gmail.com Спасибо |
02.09.2011, 17:52 | #5 (ссылка) |
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
вот архив virusinfo_syscheck.zip - http://rghost.ru/20217721
quarantine.zip - выслал на почту |
02.09.2011, 17:59 | #6 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/ Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. Протокол выполнения скрипта можно увидеть в файле fystemRoot.log, который появится в папке с AVZ. Залейте его для проверки + Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. |
02.09.2011, 19:00 | #7 (ссылка) |
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
вот ссылка на fystemRoot.log - http://rghost.ru/20226021
вот virusinfo_syscheck.zip - http://rghost.ru/20226181 |
02.09.2011, 19:18 | #9 (ссылка) |
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
сделал как вы сказали - http://rghost.ru/20228511
|
02.09.2011, 19:37 | #10 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Скрипт скачать по ссылке http://zalil.ru/31640269 После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS. Залить на обменник и дать ссылку. |
02.09.2011, 19:42 | #11 (ссылка) |
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
вот пожалуйста - http://rghost.ru/20231691 ))
|
02.09.2011, 19:53 | #12 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Окей, теперь делаем вот это
если вы используете Windows XP установите сервис-пак SP3 + все последующие критические обновления для операционной системы. Установите Internet Explorer 8 скачать отсюда http://www.microsoft.com/rus/windows...r/default.aspx если установлена Java, обновить ее до текущей версии скачать отсюда http://www.java.com/ru/download/manual.jsp обновите ПО: Adobe Flash Player отсюда http://get.adobe.com/ru/flashplayer/ Adobe Acrobat Reader http://get.adobe.com/reader/ |
02.09.2011, 20:28 | #14 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
СП3
http://www.microsoft.com/downloads/r...8-1e1555d4f3d4 После установки, выполните обновления через браузер. Перед установкой лучше отключить антивирус и другое защитное ПО. Также может потребоватся активация системы Windows. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Выручайте!!! | sentoxis | Безопасность | 6 | 19.08.2011 14:32 |
Выручайте... | Философ | Железо | 1 | 04.07.2011 22:57 |
Помогите удалить Keylogger Net Plus !!! | Константин51 | Безопасность | 7 | 22.05.2011 02:24 |
Хлопцы выручайте. Сеть ХР и W7 | Никита Хрущев | Интернет и сети | 10 | 08.04.2011 08:22 |
PDM.keylogger | WARDOOM | Безопасность | 3 | 20.03.2011 14:20 |
Выручайте с дровами | piton331 | Драйвера | 1 | 12.11.2010 10:57 |
Keylogger | ferrero | Безопасность | 5 | 14.09.2010 15:38 |
Выручайте ребятки! | Владимир130183 | Игры | 1 | 18.08.2010 15:44 |
Приходится менять пароль pdm keylogger | wisker | Безопасность | 1 | 02.04.2010 01:46 |
Удаление Elite Keylogger v3.5.087 | rkol | Безопасность | 7 | 07.02.2010 19:43 |
Keylogger - это вирус? | blikk2 | Безопасность | 8 | 17.08.2009 21:01 |
Народ, выручайте! | Viggen | Железо | 7 | 30.03.2009 01:44 |