Abraham Опубликовано 19 декабря, 2009 Поделиться Опубликовано 19 декабря, 2009 Доброго времени суток. Проблема стандартная как и у всех: окно на четверть экрана с активацией через смс, сеть и интернет не работают. Жду вашей помощи. Логи ниже. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 19 декабря, 2009 Поделиться Опубликовано 19 декабря, 2009 (изменено) 1. запустить программку, что в аттаче. ПК будет перезагружен. 2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного. 3.Сделайте новые логи. get3.zip Изменено 19 декабря, 2009 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты Поделиться
Abraham Опубликовано 19 декабря, 2009 Автор Поделиться Опубликовано 19 декабря, 2009 Сделано. Окно с активацией пропало. логи. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log gmer.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 19 декабря, 2009 Поделиться Опубликовано 19 декабря, 2009 Пофиксить в HijackThis F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe, ПК перезагрузите. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\TEMP\~TMF0.tmp',''); QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); DeleteService('Schedule'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\WINDOWS\TEMP\~TMF0.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','[system]'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','[system]'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 19 декабря, 2009 Поделиться Опубликовано 19 декабря, 2009 + к snifer67 Abraham, если в папке с утилитой get3.zip появился файл drv.sys, запакуйте его и прикрепите к своему сообщению вместе с новыми логами после выполнения скрипта Ссылка на комментарий Поделиться на другие сайты Поделиться
routerball Опубликовано 20 декабря, 2009 Поделиться Опубликовано 20 декабря, 2009 Пофиксить в HijackThis F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe, ПК перезагрузите. Выполните скрипт в avz Бла бла бла ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. snifer67,, Уважаемый, скажите пожалуйста, а вот эта описанная выше процедура до Сделайте новые логи. она обязательна для удаления вируса? У меня просто приятель подхватил его а у него не Касперский а другой антивирус, вот ищу лекарство: я скачал файл из атача с тремя пунктами, которые описаны в предыдущем Вашем посте - вот их хватит для того чтобы убрать это творение? Или надо еще сделать вот эти процедуры? И обязательно ли чтобы был установлен антивирус Касперского? P.S. и не могли бы Вы пояснить что такое AVZ и собственно как делаются логи - это случайно не тут: Окно Антивируса->Поддержка->Трассировки, просто у меня у самого Касперский 2010 и в случае такого заражения будет полезно знать... Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 21 декабря, 2009 Поделиться Опубликовано 21 декабря, 2009 (изменено) офф routerball, про AVZ можно почитать на сайте автора z-oleg.com. Про остальное - в правилах http://forum.kasperskyclub.ru/index.php?showtopic=1698 Если у вас проблемы, создайте отдельную тему и опишите ее (выполнив правила) Изменено 21 декабря, 2009 пользователем миднайт Ссылка на комментарий Поделиться на другие сайты Поделиться
routerball Опубликовано 21 декабря, 2009 Поделиться Опубликовано 21 декабря, 2009 (изменено) оффrouterball, про AVZ можно почитать на сайте автора z-oleg.com. Про остальное - в правилах http://forum.kasperskyclub.ru/index.php?showtopic=1698 Если у вас проблемы, создайте отдельную тему и опишите ее (выполнив правила) Хорошо, буду проще: по посту #4 процедуру обязательно выполнять? (Да/Нет/Желательно) как-то так можно ответить? Просто на ПК абсолютно такая же ситуация, и я не вижу смысла заводить новую тему и перетирать там все тоже самое что пишут в этой. А за с ссылки большое спасибо! P.S. я просто еще не достаточно опытен в таких делах - вон форумом только что пользоваться научился Изменено 21 декабря, 2009 пользователем routerball Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 21 декабря, 2009 Поделиться Опубликовано 21 декабря, 2009 по посту #4 процедуру обязательно выполнять? (Да/Нет/Желательно) как-то так можно ответить?1. Ситуация может и та же (по виду), а версия вымогателя может быть другой2. Выполнять скрипты, написанные для других, не нужно, дабы не усугубить ситуацию. Так что проследуйте на выполнение правил и создавайте свою тему Ссылка на комментарий Поделиться на другие сайты Поделиться
routerball Опубликовано 21 декабря, 2009 Поделиться Опубликовано 21 декабря, 2009 Так что проследуйте на выполнение правил и создавайте свою тему Ок! Все понял спасибо большое! P.S. Ну если я не дай Бог подхвачу все сделаю в любом случае, ситауция сама не совсем удобна и не весьма корректна подойдет на создание новой темы: просто у моего приятеля жалко не Касперский, а так что-нито придумаем, он все заблокировал ему даже доступ в сеть Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 21 декабря, 2009 Поделиться Опубликовано 21 декабря, 2009 Утилиты можете скачать и Вы и на флешке перенести к приятелю. А после подготовки логов таким же образом переправить их на форум Ссылка на комментарий Поделиться на другие сайты Поделиться
gudim Опубликовано 23 декабря, 2009 Поделиться Опубликовано 23 декабря, 2009 удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного. Умоляю! Подскажите блондинке, как это сделать! программку get запустила, после перезагрузки окно пропало, но следующий шаг не могу понять.! Чаво читала, но там тоже все умно! Пожалуйста, не гневайтесь, а помогите излечить компьютер! Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 23 декабря, 2009 Поделиться Опубликовано 23 декабря, 2009 Умоляю! Подскажите блондинке, как это сделать! программку get запустила, после перезагрузки окно пропало, но следующий шаг не могу понять.! Чаво читала, но там тоже все умно! Пожалуйста, не гневайтесь, а помогите излечить компьютер! Зделайте новую тему с тремя логами. Как их делать читайте в правилах. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти