 |
|
|
02.09.2011, 17:12
|
#1 (ссылка) |
|
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
выручайте, keylogger
помогите пожалуйста почистить компьютер, есть подозрения, что завелся червячок keylogger, помогите распрощаться с ним.
лог с AVZ - http://rghost.ru/20212921 лог с HiJackThis - http://rghost.ru/20213281 P.S. еще есть проблема с включением компьютера, он включается со 2-го раза, т.е. ты его включаешь, он вместо включения, завершает сеанс ( переходит к выбору пользователя, затем выбираешь пользователя, он заходит в систему, но ты ничего не можешь нажать, пишет, что у вас нет прав для данного действия ), потом с кнопки его перезагружаешь и он нормально включается, может подскажете что-нибудь по этому поводу? Последний раз редактировалось Clo0wn; 02.09.2011 в 17:24. |
|
|
02.09.2011, 17:23
|
#2 (ссылка) |
|
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/ Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP151\A0105817.exe','');
QuarantineFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP149\A0101454.exe','');
QuarantineFile('C:\WINDOWS\ime\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX02.968\Christmas.exe','');
QuarantineFile('C:\WINDOWS\system32\019.tmp','');
QuarantineFile('c:\program files\common files\spigot\search settings\searchsettings.exe','');
TerminateProcessByName('c:\program files\common files\spigot\search settings\searchsettings.exe');
DeleteFile('c:\program files\common files\spigot\search settings\searchsettings.exe');
DeleteFile('C:\WINDOWS\system32\019.tmp');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$EX02.968\Christmas.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChristmasTree');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
DeleteFile('C:\WINDOWS\ime\svchost.exe');
DeleteService('kfcel');
DeleteService('etiog');
DeleteFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP149\A0101454.exe');
DeleteFile('C:\System Volume Information\_restore{E18F84CA-397E-4704-B192-4B8939448610}\RP151\A0105817.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Пришлите quarantine.zip сюда sendvirus2011@gmail.com Спасибо |
|
|
|
02.09.2011, 17:52
|
#5 (ссылка) |
|
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
вот архив virusinfo_syscheck.zip - http://rghost.ru/20217721
quarantine.zip - выслал на почту |
|
|
|
02.09.2011, 17:59
|
#6 (ссылка) |
|
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/ Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Протокол выполнения скрипта можно увидеть в файле fystemRoot.log, который появится в папке с AVZ. Залейте его для проверки + Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. |
|
|
|
02.09.2011, 19:00
|
#7 (ссылка) |
|
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
вот ссылка на fystemRoot.log - http://rghost.ru/20226021
вот virusinfo_syscheck.zip - http://rghost.ru/20226181 |
|
|
|
02.09.2011, 19:18
|
#9 (ссылка) |
|
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
сделал как вы сказали - http://rghost.ru/20228511
|
|
|
|
02.09.2011, 19:37
|
#10 (ссылка) |
|
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Скрипт скачать по ссылке http://zalil.ru/31640269 После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS. Залить на обменник и дать ссылку. |
|
|
|
02.09.2011, 19:42
|
#11 (ссылка) |
|
Новичок
Регистрация: 19.06.2011
Сообщений: 14
Репутация: 0
|
вот пожалуйста - http://rghost.ru/20231691 ))
|
|
|
|
02.09.2011, 19:53
|
#12 (ссылка) |
|
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Окей, теперь делаем вот это
если вы используете Windows XP установите сервис-пак SP3 + все последующие критические обновления для операционной системы. Установите Internet Explorer 8 скачать отсюда http://www.microsoft.com/rus/windows...r/default.aspx если установлена Java, обновить ее до текущей версии скачать отсюда http://www.java.com/ru/download/manual.jsp обновите ПО: Adobe Flash Player отсюда http://get.adobe.com/ru/flashplayer/ Adobe Acrobat Reader http://get.adobe.com/reader/ |
|
|
|
02.09.2011, 20:28
|
#14 (ссылка) |
|
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
СП3
http://www.microsoft.com/downloads/r...8-1e1555d4f3d4 После установки, выполните обновления через браузер. Перед установкой лучше отключить антивирус и другое защитное ПО. Также может потребоватся активация системы Windows. |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Выручайте!!! | sentoxis | Безопасность | 6 | 19.08.2011 14:32 |
| Выручайте... | Философ | Железо | 1 | 04.07.2011 22:57 |
| Помогите удалить Keylogger Net Plus !!! | Константин51 | Безопасность | 7 | 22.05.2011 02:24 |
| Хлопцы выручайте. Сеть ХР и W7 | Никита Хрущев | Интернет и сети | 10 | 08.04.2011 08:22 |
| PDM.keylogger | WARDOOM | Безопасность | 3 | 20.03.2011 14:20 |
| Выручайте с дровами | piton331 | Драйвера | 1 | 12.11.2010 10:57 |
| Keylogger | ferrero | Безопасность | 5 | 14.09.2010 15:38 |
| Выручайте ребятки! | Владимир130183 | Игры | 1 | 18.08.2010 15:44 |
| Приходится менять пароль pdm keylogger | wisker | Безопасность | 1 | 02.04.2010 01:46 |
| Удаление Elite Keylogger v3.5.087 | rkol | Безопасность | 7 | 07.02.2010 19:43 |
| Keylogger - это вирус? | blikk2 | Безопасность | 8 | 17.08.2009 21:01 |
| Народ, выручайте! | Viggen | Железо | 7 | 30.03.2009 01:44 |
