yess888 Опубликовано 11 декабря, 2009 Поделиться Опубликовано 11 декабря, 2009 После удаления ветки в реестре связанной с баннером и файлом siszyd32 - баннер пропал. Но в менеджере процессов AVZ показывает в некоторых процессах подключенные библиотеки akegoprn.dll логи прикрепляю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Venus Doom Опубликовано 11 декабря, 2009 Поделиться Опубликовано 11 декабря, 2009 Выполните скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\winsrv.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys',''); QuarantineFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys',''); QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll',''); DeleteService('upperdev'); DeleteFile('C:\WINDOWS\system32\aekgoprn.dll'); DeleteFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys'); DeleteFile('C:\WINDOWS\system32\winsrv.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys'); BC_Activate; Sleep(180); RebootWindows(true); end. Компьютер перезагрузится Выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip отправьте на newvirus@kaspersky.com Сделайте новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
yess888 Опубликовано 12 декабря, 2009 Автор Поделиться Опубликовано 12 декабря, 2009 Всё сделал. Вот новые логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Venus Doom Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 Выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\aekgoprn.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; Sleep(300); RebootWindows(true); end. Дождитесь перезагрузки. Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118 Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 1. запустить программку, что в аттаче. ПК будет перезагружен. 2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного. Ссылка на комментарий Поделиться на другие сайты Поделиться
yess888 Опубликовано 12 декабря, 2009 Автор Поделиться Опубликовано 12 декабря, 2009 (изменено) Выполнил скрипт, логи + лог GMER. А к совету Snifera67 пока не прибег. Что делать дальше? Всетки запустил get2 и удалил файл swenum.sys Перезагрузился. Винда восстановила его. Открыл процессы с помощью диспетчера процессов AVZ. И наконецто из текущих процессов винды исчезла библиотека aekgoprn.dll ! Надеюсь это и есть конечная точка решения моей проблемы Всем большое спасибо! Теперь вопросик: комп корпоративный, стоит запароленный касперский 6.0. От вируса он не спас как видите. Можно ли поставить какой-нибудь файрволл который не конфликтует с каспером? И вообще - какие советы чтоб впредь не ловить такой вирус? (никакие проги не запускались..вирус проник с обычного сайта без каких либо активных действий с моей стороны). virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log GMER.log Изменено 12 декабря, 2009 пользователем yess888 Ссылка на комментарий Поделиться на другие сайты Поделиться
vit9696 Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 Выполнил скрипт, логи + лог GMER.А к совету Snifera67 пока не прибег. Что делать дальше? Всетки запустил get2 и удалил файл swenum.sys Перезагрузился. Винда восстановила его. Открыл процессы с помощью диспетчера процессов AVZ. И наконецто из текущих процессов винды исчезла библиотека aekgoprn.dll ! Надеюсь это и есть конечная точка решения моей проблемы Всем большое спасибо! Теперь вопросик: комп корпоративный, стоит запароленный касперский 6.0. От вируса он не спас как видите. Можно ли поставить какой-нибудь файрволл который не конфликтует с каспером? И вообще - какие советы чтоб впредь не ловить такой вирус? (никакие проги не запускались..вирус проник с обычного сайта без каких либо активных действий с моей стороны). Сбросьте пароль, вроде утилита для этого есть, поищите на оф. сайте и поставьте последнюю версию корпоративки она намного лучше предыдущей. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys',''); DeleteService('Mswdmmpxarv'); QuarantineFile('Mswdmmpxarv.sys',''); DeleteFile('Mswdmmpxarv.sys'); DeleteFile('C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти