 |
|
|
30.09.2011, 19:49
|
#1 (ссылка) |
|
Новичок
Регистрация: 30.09.2011
Сообщений: 33
Репутация: 0
|
ac32.exe BrowseIt .
Здравствуйте . помогите пожалуйста с проблемой.
Постоянно появляется иконка загрузки около курсора. В диспетчере задач появляется и пропадает "BrowseIt" , также во вкладке процессы появляется и пропадает процесс "ac32.exe". Вот файл , сделал всё по инструкции. http://rghost.ru/23665741 http://rghost.ru/23669981 http://rghost.ru/23670101 Зарание спасибо за помощь. Последний раз редактировалось barrrrrrrrrrrrr; 30.09.2011 в 20:14. |
|
|
30.09.2011, 20:29
|
#2 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Выполните скрипт в AVZ:
Как выполнить скрипт http://pchelpforum.ru/f26/t24207/ Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\dadv2mgr.exe','');
QuarantineFile('C:\WINDOWS\system32\c9mgr.exe','');
QuarantineFile('C:\WINDOWS\system32\ac32.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\kabauth.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Qswkwa.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Kqwkwu.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Kqwkwu.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kqwkwu');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Qswkwa.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qswkwa');
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\kabauth.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KabAuth');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\ac32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32');
DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','c9mgr');
DeleteFile('C:\WINDOWS\system32\dadv2mgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','dadv2mgr');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
далее выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки AVZ пришлите в почту sendvirus2011@gmail.com ---------- Добавлено в 22:29 ---------- Предыдущее сообщение было написано в 22:29 ---------- + дополнительно ----------------------- сделайте образ автозапуска системы в uVS обновите утилиту uVS до версии 3.71 или отсюда, для тек кто дружит с Avast (или GData) Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум. |
|
|
|
01.10.2011, 00:04
|
#4 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код:
;uVS v3.71 script [http://dsrt.dyndns.org] addsgn 9A6461DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC0CF4D83F6C1EE51ABBE0F1302FB4C885461649FA7DDFE97255DAD94F4403A92597744D19 8 addrive zoo %SystemRoot%\AADRIVE32.EXE addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B45A6B7995C32E9AD328703826943D554B773CB55681941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.X [NOD32] zoo %Sys32%\ESZEVUES.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\YOUTUBE_SEARCH\YOUTUBE_SEARCH.DLL delall %SystemDrive%\PROGRAM FILES\TICNO\MULTIBAR\MULTIBAR.EXE delall %SystemDrive%\PROGRAM FILES\TICNO\MULTIBAR\MULTIBAR_MAIN.EXE delall %SystemDrive%\PROGRAM FILES\TICNO\MULTIBAR\SEARCHSERVICE.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\FRIENDMETER\FRIENDMETER.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\GAMES\GAMES.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\INET_SEARCH\INET_SEARCH.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\WEATHER\LANG.RU.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\LOCAL_SEARCH\LOCAL_SEARCH.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\WEATHER\MAIN.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\WEATHER\TICNOWEATHER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\WEBMONEY\WEBMONEY.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TICNO\MULTIBAR\PLUGINS\WIKI_SEARCH\WIKI_SEARCH.DLL addsgn A7679B1BB9024E720B87F8E6E76DC2F8DA75FC0562F67A20D5B1E8CA7EE75F7A0D1762571E1D9D4C2BA0CC9FE51269B27D7EEC521DDA33544D77D13BAD164AEF 8 Win32/AutoRun.IRCBot.FC [NOD32] zoo %Sys32%\SMSC.EXE chklst delvir deltmp delnfr regt 1 regt 2 regt 5 regt 18 czoo restart архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z) отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected ---------- Добавлено в 02:04 ---------- Предыдущее сообщение было написано в 02:04 ---------- после перезагрузки сделайте новый образ автозапуска в uVS |
|
|
|
01.10.2011, 02:44
|
#7 (ссылка) |
|
Новичок
Регистрация: 30.09.2011
Сообщений: 33
Репутация: 0
|
прошу прощения , не увидел .
всё сделал , отправил . компьютер стал работать намного быстрее чем прежде , спасибо . сейчас проблем не наблюдаю , правда бывает порой , когда флешку вставляешь , все окна моргать начинают , как новогодняя ёлка становится , то появится окно , то изчезнет , также в этот момент рабочий стол пропадал , но когда флешку достаёшь , всё становится на свои места и работает нормально , ничего не моргает . думал , думал что это из за самой карты , но та же история повторялась и с другими носителями подобного типа. ---------- Добавлено в 21:44 ---------- Предыдущее сообщение было написано в 20:30 ---------- Проработал не долго . Проблема вернулась . |
|
|
|
01.10.2011, 16:46
|
#10 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код:
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemRoot%\JODRIVE32.EXE addsgn 9A6461DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC0CF4D83F6C1EE51ABBE0F1302FB4C885461649FA7DDFE97255DAD94F4403A92597744D19 8 addrive zoo %Sys32%\SMSC.EXE addsgn A7679B1BB9024E720B87F8E6E76DC2F8DA75FC0562F67A20D5B1E8CA7EE75F7A0D1762571E1D9D4C2BA0CC9FE51269B27D7EEC521DDA33544D77D13BAD164AEF 8 Win32/AutoRun.IRCBot.FC [NOD32] zoo %Sys32%\AC32.EXE addsgn A7659219B9728B762FD6AEB16437073D44CAFC1E7104E087154E719A50D6714C769E26D4D24D5A4D0F81849F46E95CC21C9FE89A8D244FD3BDFA1009C7062273 16 Win32/Injector.IZU zoo %Sys32%\C9MGR.EXE zoo %Sys32%\ESZEVUES.DLL addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B45A6B7995C32E9AD328703826943D554B773CB55681941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.X [NOD32] zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE zoo %SystemRoot%\FPI.EXE zoo %SystemRoot%\DSIPI.EXE addsgn A7679BF0AA028C224BD4C6CD4B881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6BD0C49F75C4C32EF4CA281B15DA3BE4AC965B2FC706AB7E 8 new zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QSWKWA.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KQWKWU.EXE chklst delvir delref HTTP://WWW.KORNET.RU deltmp delnfr regt 1 regt 2 regt 5 regt 12 regt 18 regt 23 czoo restart новый образ автозапуска архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z) отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected ----- ---------- Добавлено в 18:46 ---------- Предыдущее сообщение было написано в 18:45 ---------- флэшками пока не пользуйтесь, пока не залечите систему, и не обновите антивирус. |
|
|
|
01.10.2011, 17:21
|
#11 (ссылка) |
|
Новичок
Регистрация: 30.09.2011
Сообщений: 33
Репутация: 0
|
http://rghost.ru/23771431
---------- Добавлено в 12:18 ---------- Предыдущее сообщение было написано в 12:16 ---------- после выполнения скрипта в uvs проблема вернулась , + к этому начал сам по себе открываться Internet explorer. ---------- Добавлено в 12:21 ---------- Предыдущее сообщение было написано в 12:18 ---------- проблема опять изчезла. мистика какая то. |
|
|
|
01.10.2011, 17:22
|
#12 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код:
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ WFIXER C A R D .CMD addsgn A7679BF0AA028C224BD4C6CD4B881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6BD0C49F75C4C32EF4CA281B15DA3BE4AC965B2FC706AB7E 8 new zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QSWKWA.EXE chklst delvir deltmp delnfr regt 1 regt 2 regt 5 regt 12 regt 18 regt 23 restart новый образ автозапуска |
|
|
|
01.10.2011, 17:43
|
#14 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код:
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KQWKWU.EXE addsgn A7679BF0AA028C224BD4C6CD4B881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6BD0C49F75C4C32EF4CA281B15DA3BE4AC965B2FC706AB7E 8 new delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KQWKWU.EXE chklst delvir deltmp delnfr regt 5 restart сделайте лог малваребайт -------------- скачайте программу malwarebytes (free version) http://www.malwarebytes.org/mbam.php установить (только сканер!), обновить базы, выполнить быстрое сканирование, после завершения сканирования, текстовый лог (в виде файла) добавить в ваше сообщение на форум. |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| ac32, aadrive32 и другие | SourSticker | Безопасность | 6 | 02.10.2011 15:01 |
| BrowseIt | bloodewarlock | Безопасность | 1 | 29.07.2011 18:05 |
| постоянная ошибка (Error: GetFileText. BrowseIt. Permission denied) | Дашкаа | Безопасность | 8 | 31.03.2011 21:00 |
| бесконечные окна getFileText.BrowseIt. Pe... что делать после проверок реестров и тпт | alexandr borec | Безопасность | 4 | 17.02.2011 13:40 |
| в винXP постоянно выскакивает ошибка:GetFileText.Browseit.Permission Denied. | Dober | Безопасность | 6 | 15.02.2011 13:26 |
| Ошибка постоянная (Error: GetFileText. BrowseIt. Permission denied) Загрузка цп 100% | Ламер26 | Безопасность | 5 | 31.05.2010 18:53 |
