Компьютерный форум

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Нужен скрипт для avz, помогите! Trojan.Kyjak (http://pchelpforum.ru/showthread.php?t=15431)

z.end 13.11.2009 00:34
Нужен скрипт для avz, помогите! Trojan.Kyjak
 
http://webfile.ru/4080681

Здравствуйте, собственно проблема на лицо (ссылка). В My Computer появилась папка Web Folders, не открывается внешний винт E: но только из My Computer, были сделаны ссылки на папки внутри винта E: так что доступ к нему есть. И еще такой вопрос в Divece Manager sound,video and
game controllers удалил один из драйверов,не помню названия http://webfile.ru/4080767 , проблема была связана с eac.sys, как этот драйвер вернуть ? Заранее спасибо , жду помощи.

winshelp 13.11.2009 01:17
Для лечения компьютера выполните скрипт в AVZ:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\907837981c9aaf2\fssclient_x86.msi','');
 QuarantineFile('C:\System Volume Information\_restore{A0E1C7D3-FDEE-4689-A029-DEAE3029D4C5}\RP24\A0005029.msi','');
 QuarantineFile('E:\autorun.inf','');
 DeleteFile('E:\autorun.inf');
 DeleteFile('C:\System Volume Information\_restore{A0E1C7D3-FDEE-4689-A029-DEAE3029D4C5}\RP24\A0005029.msi');
 DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\907837981c9aaf2\fssclient_x86.msi');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}',1);
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
Компьютер перезагрузиться.
После перезагрузки диск E: - должен открываться и папка Web Folders должна пропасть.
О результатах отпишитесь
Выполните стандартный скрипт №2 и выложите ссылку на форуме.

01pump 13.11.2009 10:46
z.end,
cкачайте утилитку http://webfile.ru/3953491 Распакуйте.
Запустить программу .После автоматической экспресс-проверки нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.

z.end 13.11.2009 22:26
Выполнил скрипт E: отркрыветься, Web Folders сначала пропала, сейчас опять появились.
лог из avz : http://webfile.ru/4082613

лог из 1c23 : http://webfile.ru/4082787

Опишу историю.
Вообще проблемы начались из-за самопроизвольных рестартов, потом на синем экране выдал проблему с aec.sys (кстате для чего он вообще нужен, в system32/drivers у меня их там 2 aec.sys и aec.sys_), после пары рестартов синий экран выдал проблему с nups.sys, погуглил, вышел на ваш форум где нашел такой скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('catchme');
DeleteService('Nups');
DeleteService('.1221804580');
DeleteFile('C:\WINDOWS\system32\tftp.nfo');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys') ;
DeleteFile('C:\Program Files\1221804580\XXX1221804580L.exe');
DeleteFile('C:\DOCUME~1\XXX\LOCALS~1\Temp\catchme. sys');
DeleteFile('Explorer.exe rundll32.exe tftp.nfo beforegllav');
DeleteFile('C:\WINDOWS\System32\ntfs_ext6.exe');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(16);
RebootWindows(true);
end.

выполнил, рестарты прекратились, да и работать стал значительно быстрее . Поставил сборку обновлений SP3, якобы для большей безопасности и восстановить драйвер из sound video and game controllers (скриншот в первом посте). Возможно в сборке был вирус, Nod32 ничего не нашел. Поставил обновления, появилась папка Web Folder, скорость работы системы упала.

Насколько мог детально описал ситуацию, главное чтобы у вас хватило терпения это все прочитать =).

01pump 13.11.2009 22:53
z.end,
Выполнить это в avz:
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\agsihay');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\jqvdck');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet002\Services\agsihay');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet002\Services\jqvdck');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\agsihay');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\jqvdck');
BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\agsihay');
BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\jqvdck');
BC_DeleteSvc('agsihay');
BC_DeleteSvc('jqvdck');
BC_DeleteFile('C:\WINDOWS\system32\jvammf.dll');
BC_ImportDeletedList;
ExecuteWizard('TSW', 3, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполнить стандартный скрипт №2 и прислать архив virusinfo_syscheck.zip

z.end 14.11.2009 01:22
http://webfile.ru/4083233

z.end 14.11.2009 18:18
Всем спасибо за помощь! Система работает стабильно . Что нибудь по последнему логу можете сказать , все ли впорядке?

01pump 14.11.2009 19:12
Цитата:
Сообщение от z.end (Сообщение 115306)
Всем спасибо за помощь! Система работает стабильно . Что нибудь по последнему логу можете сказать , все ли впорядке?
Установите следующий набор заплаток http://webfile.ru/3955291

z.end 15.11.2009 00:26
Можно пожалуста те же заплатки только для англоязычной версии. Спасибо

01pump 15.11.2009 11:15
Цитата:
Сообщение от z.end (Сообщение 115473)
Можно пожалуста те же заплатки только для англоязычной версии. Спасибо
На сайте microsoft скачайте эти заплатки (предварительно выбрав нужный вам язык)
KB957097
KB958687
KB958644


Текущее время: 15:46. Часовой пояс GMT +4.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.