|
|
|
|
#1 |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Вот файл http://exfile.ru/90106 Буду очень признателен. В безопасном режиме его можно выполнить?
|
|
|
|
|
#2 |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
kenas, нехилый наборчик паразитов у вас на компе
![]() нужен лог хайджека http://pchelpforum.ru/f26/t6442/ . Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('Nups');
DeleteFile('C:\WINDOWS\system32\tapi.nfo');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\Program Files\AdVantage\AdVantage.exe');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\Knight.exe');
DeleteFile('C:\WINDOWS\system32\dilvuz.dll');
DeleteFile('msfun80.exe');
DeleteFile('msime82.exe');
DeleteFile('H:\autorun.wsh');
DeleteFile('C:\Documents and Settings\Ma-Kenas\Главное меню\Программы\Автозагрузка\officexp.exe');
DeleteFile('C:\WINDOWS\system32\windfire.exe');
DeleteFile('C:\RECYCLED\BIN\ok.exe');
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-34KC2A3452432');
RegKeyParamDel('HKEY_LOCAL_MACHINE ','Software\Microsoft\Windows\CurrentVersion\Run ','IMJPMIG8.2 ');
RegKeyParamDel('HKEY_CURRENT_USER ','Software\Microsoft\Windows\CurrentVersion\Run ','MsServer ');
RegKeyParamDel('HKEY_CURRENT_MACHINE ',' SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows ','AppInit_DLLs ');
RegKeyParamDel('HKEY_CURRENT_MACHINE ',' Software\Microsoft\Windows\CurrentVersion\Run ','systme ');
RegKeyParamDel('HKEY_CURRENT_MACHINE ',' Software\Microsoft\Windows\CurrentVersion\Run ','Disk Knight ');
RegKeyParamDel('HKEY_CURRENT_MACHINE ',' Software\Microsoft\Windows\CurrentVersion\Run ','plugin ');
RegKeyParamDel('HKEY_CURRENT_USER ',' Software\Microsoft\Windows\CurrentVersion\Run ','AdVantage ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(16 );
RebootWindows(true);
end.
Внимание !!! База поcледний раз обновлялась 05.05.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог программы хайджек. Последний раз редактировалось romul781; 19.03.2010 в 00:24. |
|
|
|
|
#3 |
|
Новичок
|
Сервис деактивации вымогателей-блокеров - http://support.kaspersky.ru/viruses/deblocker
Если кому надо! |
|
|
|
|
#4 |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Колян1, такая тема уже есть!!!
http://pchelpforum.ru/f26/t18538/ |
|
|
|
|
#5 |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Вот http://exfile.ru/90291 Баннер пропал спасибо. Хайджек не получается на обменник скинуть - выбрасывает.
|
|
|
|
|
#6 |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Лог Хайджека вставьте прям сюда(словами).
---------- Добавлено в 20:20 ---------- Предыдущее сообщение было написано в 20:17 ---------- Вирусы есть.Пока что смотрю лог.Подождите,пожалуйста. ---------- Добавлено в 21:20 ---------- Предыдущее сообщение было написано в 20:20 ---------- У вас вирус кое-что поломал.Надо починить+активный вирус.Выполните скрипт в AVZ: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('c:\program files\mozilla firefox\rasadhlp.dll','');
DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DeleteFile('C:\WINDOWS\system32\shell64.dll');
QuarantineFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll','');
DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll');
DeleteFile('c:\program files\mozilla firefox\rasadhlp.dll');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
DeleteFile('C:\WINDOWS\system32\dilvuz.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
|
|
|
|
|
#7 |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Второй скрипт не пошел! Вот файл после первого http://exfile.ru/90322. Где найти fystemRoot.log?
лог хайджека http://exfile.ru/90352 Последний раз редактировалось romul781; 20.03.2010 в 00:09. |
|
|
|
|
#8 |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
kenas, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE O20 - AppInit_DLLs: dilvuz.dll O20 - Winlogon Notify: crypt - Invalid registry found Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('wsctf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
|
|
|
| Ads | |
|
|
#9 | |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Цитата:
|
|
|
|
|
|
#11 |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Выполните такой скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('wsctf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Последний раз редактировалось help?; 20.03.2010 в 10:39. |
|
|
|
|
#12 |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
|
|
|
|
|
#13 |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Во 1 по двум ссылкам одно и тоже.Во 2 выполните скрипт в AVZ:
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Да кстати-перезагрузки не будет! Последний раз редактировалось romul781; 20.03.2010 в 11:47. |
|
|
|
|
#14 |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
kenas, 1. Скачайте программу http://www.malwarebytes.org/mbam-download.php
2. Установите ее. - Запустите MBAM - выберите Perform Full Scan (Провести полную проверку) - нажмите Scan (Проверить) - после сканирования выберите Ок и далее Show Results (Показать результаты) 3. По окончании сканирования будет сгенерирован лог. 4. выложите его на файлообменник. 5. не удаляйте ничего сами!!! |
|
|
|
|
#15 |
|
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Порно баннер на рабочем столе, avz запустил с LiveCD | EXPERTKZ | Безопасность | 5 | 05.07.2010 18:35 |
| Баннер с порно-сайтом на рабочем столе. | qrt | Безопасность | 3 | 16.06.2010 11:11 |
| Порно баннер на рабочем столе | goldmund | Безопасность | 15 | 11.06.2010 00:51 |
| Порно баннер на рабочем столе | gvedas | Безопасность | 4 | 24.04.2010 00:20 |
| Порно-баннер на рабочем столе | Roger | Безопасность | 15 | 23.04.2010 13:14 |
| Порно баннер на рабочем столе появляется через два дня | goldmund | Безопасность | 5 | 27.03.2010 14:30 |
| Порно баннер на рабочем столе | boracyda | Безопасность | 6 | 13.03.2010 13:53 |
| Порно баннер на рабочем столе | alenushka | Безопасность | 2 | 13.03.2010 12:40 |
| Порно баннер на рабочем столе... | Quete | Безопасность | 25 | 11.03.2010 10:14 |
| Порно баннер на рабочем столе | Настя45 | Безопасность | 1 | 10.01.2010 13:18 |
| На рабочем столе появился баннер с порно и просьбой отправить смс | Shinobi | Безопасность | 4 | 03.01.2010 00:27 |
| порно-БАННЕР на РАБОЧЕМ СТОЛЕ | SYPRA | Безопасность | 20 | 17.11.2009 19:01 |