|
|
|
|
#1 |
|
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
Доброго времени суток всем!
Помогите, пожалуйста, удалить последствия вируса. Ситуация следующая - комп чужой, подхватили вирус-баннер, раньше комп уже лечили, но плохо. Сам баннер убили вроде, а вот систему в норму не вернули. Не работает диспетчер задач, командная строка, нет доступа к редактированию реестра, не работает Интернет (браузеры ничего не могут загрузить). Все это не работает и в обычном режиме и в безопасном. AVZ не запускается - при запуске комп тут же уходит в перезагрузку. Запускал с флешки. CureIT некоторое время работает, находит несколько вирусов и зависает. Hijack просканировал и успел сохранить лог. Потом комп ушел в перезагрузку. Лог http://exfile.ru/100754 |
|
|
|
|
#4 |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Cyber,
Это http://exfile.ru/100760 качать и сохранить на диске вот так C:\KatesKiller.exe Затем выполнить следующую команду: Пуск-Выполнить введите это C:\KatesKiller.exe -l report.txt и выполните. По окончании перезагрузитесь и пришлите report.txt(он рядом с утилиткой) |
|
|
|
|
#5 |
|
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
01pump,
вот лог http://exfile.ru/100762 но ничего не найдено |
|
|
|
|
#6 |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
|
|
|
|
|
#10 |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('L:\autorun.inf','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espEF90.tmp','');
QuarantineFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espF1A3.tmp','');
QuarantineFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espE72.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\YhJdWum.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\Jtal5We.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\GFThk5K.exe','');
QuarantineFile('C:\WINDOWS\system32\591add67.exe','');
QuarantineFile('C:\WINDOWS\system32\30180aa3.exe','');
QuarantineFile('C:\WINDOWS\system32\2f9a93a4.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteService('Netprotocol');
SetServiceStart('Netprotocol', 4);
QuarantineFile('C:\WINDOWS\system32\okii.dll','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\documents and settings\ВАСЁК\application data\netprotocol.exe','');
TerminateProcessByName('c:\documents and settings\ВАСЁК\application data\netprotocol.exe');
DeleteFile('c:\documents and settings\ВАСЁК\application data\netprotocol.exe');
DeleteFile('C:\WINDOWS\system32\okii.dll');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
DeleteFile('C:\WINDOWS\System32\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\WINDOWS\system32\2f9a93a4.exe');
DeleteFile('C:\WINDOWS\system32\30180aa3.exe');
DeleteFile('C:\WINDOWS\system32\591add67.exe');
DeleteFile('\\?\globalroot\systemroot\system32\GFThk5K.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Jtal5We.exe');
DeleteFile('\\?\globalroot\systemroot\system32\YhJdWum.exe');
DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espE72.tmp');
DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espF1A3.tmp');
DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espEF90.tmp');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('L:\autorun.inf');
DeleteFile('D:\autorun.wsh');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. |
|
|
|
|
#11 |
|
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
|
|
|
|
|
#12 |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Cyber,
Выполните скрипт Код:
begin
RegSearch('HKLM', '', 'espEF90.tmp');
RegSearch('HKLM', '', 'espF1A3.tmp');
RegSearch('HKLM', '', 'espE72.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
end.
|
|
|
|
|
#13 |
|
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
|
|
|
|
|
#14 |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Cyber,
Выполните этот скрипт Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espEF90.tmp');
DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espF1A3.tmp');
DeleteFile('C:\DOCUME~1\402B~1\LOCALS~1\Temp\espE72.tmp');
RegKeyDel('HKLM','SYSTEM\ControlSet001\Control\Print\Providers\62528A59');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Control\Print\Providers\62528A59');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\62528A59');
RegKeyDel('HKLM','SYSTEM\ControlSet001\Control\Print\Providers\A66C7749');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Control\Print\Providers\A66C7749');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\A66C7749');
RegKeyDel('HKLM','SYSTEM\ControlSet001\Control\Print\Providers\F7D77939');
RegKeyDel('HKLM','SYSTEM\ControlSet002\Control\Print\Providers\F7D77939');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\F7D77939');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(true);
end.
|
|
|
|
|
#15 |
|
Новичок
Регистрация: 14.03.2010
Сообщений: 23
Репутация: 0
|
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| помогите избавиться от баннера | ксюша25 | Общение по интересам | 1 | 14.01.2011 22:04 |
| помогите с определением вируса | tolik2503 | Безопасность | 0 | 24.12.2010 17:43 |
| Помогите избавиться от вируса!!! | IIaHuKa | Безопасность | 9 | 30.08.2010 20:12 |
| помогите избавиться от вируса | alex_at | Безопасность | 3 | 08.07.2010 02:31 |
| Помогите избавиться от баннера на рабочем столе | Nasia | Безопасность | 3 | 24.03.2010 11:04 |
| Помогите избавиться от вируса. | kawasaki | Безопасность | 3 | 03.02.2010 16:11 |
| Помогите избавиться от баннера- вымогателя | sergiy | Безопасность | 0 | 13.01.2010 13:43 |
| Помогите избавиться от баннера | sergiy | Безопасность | 1 | 07.01.2010 13:17 |
| Помогите избавиться от баннера | morfey97 | Безопасность | 3 | 06.11.2009 18:12 |
| Помогите избавится от вируса | NataliT | Безопасность | 11 | 21.09.2009 23:33 |