26.11.2011, 15:01 | #1 (ссылка) |
Новичок
Регистрация: 26.11.2011
Сообщений: 31
Репутация: 0
|
Internet.com вирус
Второй скрипт в АВЗ, virusinfo_syscheck.zip http://webfile.ru/5693819
Логи RSIT http://webfile.ru/5693860 Какой скрипт выполнить в AVZ? И на будущее: по каким принципам вообще составлять скрипт для лечения? Последний раз редактировалось CleriC; 26.11.2011 в 15:13. |
26.11.2011, 15:59 | #4 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/showpost.php?p=621481&postcount=3 Код:
begin QuarantineFile('C:\Users\Admin\AppData\Roaming\netprotocol.exe',''); QuarantineFile('C:\Windows\system32\nyivpbm.dll',''); DeleteFile('C:\Windows\system32\nyivpbm.dll'); DeleteFile('C:\Users\Admin\AppData\Roaming\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end. После перезагрузки выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Пришлите quarantine.zip сюда sendvirus2011@gmail.com Спасибо |
26.11.2011, 16:08 | #5 (ссылка) |
Новичок
Регистрация: 26.11.2011
Сообщений: 31
Репутация: 0
|
Я сначала (до того как получил ответ от вас) выполнил такой скрипт (попытался проанализировать лог сам):
begin QuarantineFile('C:\Windows\system32\nyivpbm.dll',' '); QuarantineFile('c:\Windows\SysWOW64\nyivpbm.dll',' '); DeleteFile('C:\Windows\system32\nyivpbm.dll'); DeleteFile('c:\Windows\SysWOW64\nyivpbm.dll'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Потом выполнил ваш. Результат (2ой скрипт АВЗ) http://rghost.ru/32073201 Все хорошо у меня? Еще. Вот что пишет НОД32 Файла netprotocol.exe в Апликейшен дате не было. Файл user_291.exe я уделал вручную еще утром, как увидел что вирь на компе сидит. Как так произошло что файл user_291.exe все-таки оказался в Апликейшен Дате? Его же нод грохал, причем, судя по карантину - аж 6 раз. Еще вопрос - у меня комп на ночь не выключался и в 3:57 нод словил нетпротокол.екзе. Как так? За компом ночью никто не сидел, хотя он и был включен. Что происходит? Последний раз редактировалось Гризлик; 27.11.2011 в 10:36. |
26.11.2011, 16:37 | #6 (ссылка) |
Мастер
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
|
Виряк новый, и мутный возможно сменился код.
Выполнить. http://pchelpforum.ru/showpost.php?p=677095&postcount=6 |
26.11.2011, 16:48 | #7 (ссылка) | |
Новичок
Регистрация: 26.11.2011
Сообщений: 31
Репутация: 0
|
Цитата:
Код:
Поиск критических уязвимостей [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046} Установлен Adobe Acrobat версии 10.0.1. Опасно использовать версии до 10.1 Удаление файла: C:\Program Files (x86)\Acrobat 10.0\Acrobat\authplay.dll Обнаружено уязвимостей: 1 Надо уже завязывать из под администратора сидеть. Есть где-нибудь неплохой мануал, как настроить винду таким образом, что бы сидеть из под юзера с обрезанными правами, но какой-нибудь тотал-коммандер запускать от админа? |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус InterNet.Com | Groshnn | Безопасность | 1 | 24.11.2011 22:31 |
Вирус Internet.com | nikitacool | Безопасность | 4 | 24.11.2011 22:22 |
Вирус Internet.com | sor | Безопасность | 1 | 19.11.2011 15:56 |
Вирус Internet.com | paaam | Безопасность | 9 | 25.10.2011 17:28 |
Internet.com вирус | D1man | Безопасность | 8 | 19.10.2011 01:12 |