Internet.com вирус

CleriC · 26.11.2011, 15:01

Второй скрипт в АВЗ, virusinfo_syscheck.zip http://webfile.ru/5693819
Логи RSIT http://webfile.ru/5693860
Какой скрипт выполнить в AVZ?
И на будущее: по каким принципам вообще составлять скрипт для лечения?

maksimog · 26.11.2011, 15:54

ЛОг virusinfo_syscheck.zip залить сюда www.rghost.ru

Не по каким, скрипты состявляем мы.

CleriC · 26.11.2011, 15:58

http://rghost.ru/32071921

maksimog · 26.11.2011, 15:59

Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/showpost.php?p=621481&postcount=3

Код:

begin
 QuarantineFile('C:\Users\Admin\AppData\Roaming\netprotocol.exe','');
 QuarantineFile('C:\Windows\system32\nyivpbm.dll','');
 DeleteFile('C:\Windows\system32\nyivpbm.dll');
 DeleteFile('C:\Users\Admin\AppData\Roaming\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Пришлите quarantine.zip сюда sendvirus2011@gmail.com

Спасибо

CleriC · 26.11.2011, 16:08

Я сначала (до того как получил ответ от вас) выполнил такой скрипт (попытался проанализировать лог сам):
begin
QuarantineFile('C:\Windows\system32\nyivpbm.dll',' ');
QuarantineFile('c:\Windows\SysWOW64\nyivpbm.dll',' ');
DeleteFile('C:\Windows\system32\nyivpbm.dll');
DeleteFile('c:\Windows\SysWOW64\nyivpbm.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Потом выполнил ваш.

Результат (2ой скрипт АВЗ) http://rghost.ru/32073201
Все хорошо у меня?

Еще.
Вот что пишет НОД32

Файла netprotocol.exe в Апликейшен дате не было.
Файл user_291.exe я уделал вручную еще утром, как увидел что вирь на компе сидит.
Как так произошло что файл user_291.exe все-таки оказался в Апликейшен Дате? Его же нод грохал, причем, судя по карантину - аж 6 раз.
Еще вопрос - у меня комп на ночь не выключался и в 3:57 нод словил нетпротокол.екзе. Как так? За компом ночью никто не сидел, хотя он и был включен.
Что происходит?

maksimog · 26.11.2011, 16:37

Виряк новый, и мутный возможно сменился код.

Выполнить.
http://pchelpforum.ru/showpost.php?p=677095&postcount=6

CleriC · 26.11.2011, 16:48

Цитата:

Сообщение от maksimog

Виряк новый, и мутный возможно сменился код.

Выполнить.
http://pchelpforum.ru/showpost.php?p=677095&postcount=6

Выполнил, вот avz_log.txt:

Код:

Поиск критических уязвимостей
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Установлен Adobe Acrobat версии 10.0.1. Опасно использовать версии до 10.1

Удаление файла: C:\Program Files (x86)\Acrobat 10.0\Acrobat\authplay.dll
Обнаружено уязвимостей: 1

Можно спать спокойно?

Надо уже завязывать из под администратора сидеть. Есть где-нибудь неплохой мануал, как настроить винду таким образом, что бы сидеть из под юзера с обрезанными правами, но какой-нибудь тотал-коммандер запускать от админа?

CleriC · 27.11.2011, 09:49

У меня все хорошо? Можно больше ничего не делать?

maksimog · 27.11.2011, 12:00

Ну если закрыли уязвимость Выше, то да.

Zhenka · 27.11.2011, 13:04

Помогите пожалуйста с вирусом...

http://rghost.ru/32181101

26.11.2011, 15:01	#1 (ссылка)
CleriC Новичок Регистрация: 26.11.2011 Сообщений: 31 Репутация: 0	Internet.com вирус Второй скрипт в АВЗ, virusinfo_syscheck.zip http://webfile.ru/5693819 Логи RSIT http://webfile.ru/5693860 Какой скрипт выполнить в AVZ? И на будущее: по каким принципам вообще составлять скрипт для лечения? Последний раз редактировалось CleriC; 26.11.2011 в 15:13.

26.11.2011, 15:59	#4 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Выполните скрипт в AVZ: Как выполнить написано тут http://pchelpforum.ru/showpost.php?p=621481&postcount=3 Код: begin QuarantineFile('C:\Users\Admin\AppData\Roaming\netprotocol.exe',''); QuarantineFile('C:\Windows\system32\nyivpbm.dll',''); DeleteFile('C:\Windows\system32\nyivpbm.dll'); DeleteFile('C:\Users\Admin\AppData\Roaming\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполните скрипт в AVZ: Код: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Пришлите quarantine.zip сюда sendvirus2011@gmail.com Спасибо

26.11.2011, 16:08	#5 (ссылка)
CleriC Новичок Регистрация: 26.11.2011 Сообщений: 31 Репутация: 0	Я сначала (до того как получил ответ от вас) выполнил такой скрипт (попытался проанализировать лог сам): begin QuarantineFile('C:\Windows\system32\nyivpbm.dll',' '); QuarantineFile('c:\Windows\SysWOW64\nyivpbm.dll',' '); DeleteFile('C:\Windows\system32\nyivpbm.dll'); DeleteFile('c:\Windows\SysWOW64\nyivpbm.dll'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Потом выполнил ваш. Результат (2ой скрипт АВЗ) http://rghost.ru/32073201 Все хорошо у меня? Еще. Вот что пишет НОД32 Файла netprotocol.exe в Апликейшен дате не было. Файл user_291.exe я уделал вручную еще утром, как увидел что вирь на компе сидит. Как так произошло что файл user_291.exe все-таки оказался в Апликейшен Дате? Его же нод грохал, причем, судя по карантину - аж 6 раз. Еще вопрос - у меня комп на ночь не выключался и в 3:57 нод словил нетпротокол.екзе. Как так? За компом ночью никто не сидел, хотя он и был включен. Что происходит? Последний раз редактировалось Гризлик; 27.11.2011 в 10:36.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус InterNet.Com	Groshnn	Безопасность	1	24.11.2011 22:31
Вирус Internet.com	nikitacool	Безопасность	4	24.11.2011 22:22
Вирус Internet.com	sor	Безопасность	1	19.11.2011 15:56
Вирус Internet.com	paaam	Безопасность	9	25.10.2011 17:28
Internet.com вирус	D1man	Безопасность	8	19.10.2011 01:12

26.11.2011, 15:54	#2 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	ЛОг virusinfo_syscheck.zip залить сюда www.rghost.ru Не по каким, скрипты состявляем мы.

26.11.2011, 15:58	#3 (ссылка)
CleriC Новичок Регистрация: 26.11.2011 Сообщений: 31 Репутация: 0	http://rghost.ru/32071921

26.11.2011, 16:37	#6 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Виряк новый, и мутный возможно сменился код. Выполнить. http://pchelpforum.ru/showpost.php?p=677095&postcount=6

27.11.2011, 09:49	#8 (ссылка)
CleriC Новичок Регистрация: 26.11.2011 Сообщений: 31 Репутация: 0	У меня все хорошо? Можно больше ничего не делать?

27.11.2011, 12:00	#9 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Ну если закрыли уязвимость Выше, то да.

27.11.2011, 13:04	#10 (ссылка)
Zhenka Новичок Регистрация: 27.11.2011 Сообщений: 1 Репутация: 0	Помогите пожалуйста с вирусом... http://rghost.ru/32181101

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads