Перейти к содержанию
Правила раздела

Порно окно на рабочем столе [LOG+]

JIABP

Автор JIABP
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

JIABP

JIABP

Опубликовано
  • Автор
Опубликовано

Логи снимались с чужого компа, и человек не успел их мне отослать. Всё из-за ПЫШ - она снимала показания более 30 минут, хотя признаков зависания не было. Поэтому ни одного лога я получить не успел. Завтра будут.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys','');
DeleteService('ati8ggxx');
DeleteService('ati7ctxx');
DeleteService('ati4jtxx');
DeleteService('ati3ytxx');
DeleteService('ati2uxxx');
TerminateProcessByName('c:\documents and settings\ЮГЛ\application data\popup.exe');
QuarantineFile('c:\documents and settings\ЮГЛ\application data\popup.exe','');
DeleteFile('c:\documents and settings\ЮГЛ\application data\popup.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati8ggxx');
BC_DeleteSvc('ati7ctxx');
BC_DeleteSvc('ati4jtxx');
BC_DeleteSvc('ati3ytxx');
BC_DeleteSvc('ati2uxxx');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
JIABP

JIABP

Опубликовано
  • Автор
Опубликовано
Скачайте IceSword

Распакуйте в отдельную папку и запустите.

Выберите Registry.

Найдите все строки, в записи которых встречается %fystemRoot%.

Замените в этих строках %fystemRoot% на %systemRoot%

Вот тут поподробнее. Что это за нововедение такое? = )

 

З.Ы. Кто переименовал тред?

Ссылка на комментарий
Поделиться на другие сайты
Ummitium

Ummitium

Опубликовано
Опубликовано

popup.exe он же Trojan-Ransom.Win32.AdFake.e - тот самый вредонос, из-за которого я продолжительно осаждал вирлаб и он уже давно в базах.

 

Он не устанавливает драйверы, он только сохраняет свою копию в %USERPROFILE%\application data и прописывает ее в автозапуск.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...