JIABP Опубликовано 21 сентября, 2009 Автор Опубликовано 21 сентября, 2009 Логи снимались с чужого компа, и человек не успел их мне отослать. Всё из-за ПЫШ - она снимала показания более 30 минут, хотя признаков зависания не было. Поэтому ни одного лога я получить не успел. Завтра будут.
JIABP Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 Да, ПЫШ это GSI = ) Всё великий и ужастный пунто измордовал = ) Логи в 1-ом посте = )
thyrex Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys',''); DeleteService('ati8ggxx'); DeleteService('ati7ctxx'); DeleteService('ati4jtxx'); DeleteService('ati3ytxx'); DeleteService('ati2uxxx'); TerminateProcessByName('c:\documents and settings\ЮГЛ\application data\popup.exe'); QuarantineFile('c:\documents and settings\ЮГЛ\application data\popup.exe',''); DeleteFile('c:\documents and settings\ЮГЛ\application data\popup.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati8ggxx'); BC_DeleteSvc('ati7ctxx'); BC_DeleteSvc('ati4jtxx'); BC_DeleteSvc('ati3ytxx'); BC_DeleteSvc('ati2uxxx'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Скачайте IceSword Распакуйте в отдельную папку и запустите. Выберите Registry. Найдите все строки, в записи которых встречается %fystemRoot%. Замените в этих строках %fystemRoot% на %systemRoot% Сделайте новые логи
JIABP Опубликовано 23 сентября, 2009 Автор Опубликовано 23 сентября, 2009 Скачайте IceSwordРаспакуйте в отдельную папку и запустите. Выберите Registry. Найдите все строки, в записи которых встречается %fystemRoot%. Замените в этих строках %fystemRoot% на %systemRoot% Вот тут поподробнее. Что это за нововедение такое? = ) З.Ы. Кто переименовал тред?
thyrex Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 Это было в логах. Некоторые зловреды так портят запуск служб, связанных с автоматическим обновлением
Ummitium Опубликовано 23 сентября, 2009 Опубликовано 23 сентября, 2009 popup.exe он же Trojan-Ransom.Win32.AdFake.e - тот самый вредонос, из-за которого я продолжительно осаждал вирлаб и он уже давно в базах. Он не устанавливает драйверы, он только сохраняет свою копию в %USERPROFILE%\application data и прописывает ее в автозапуск.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти