Гость Опубликовано 24 декабря, 2009 Опубликовано 24 декабря, 2009 Подцепил данный вирус. После проверки AVZ окошко на полэкрана исчезло, но интернет не работает. Помогите, пожалуйста. virusinfo_syscheck.zip hijackthis.log gmer.log virusinfo_syscure.zip
snifer67 Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 1. Скачайте утилиту во вложении и запустите. Компьютер перезагрузится 2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению 4. Сделайте новые логи get3.zip
thyrex Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 Перед созданием повторных логов после выполнения п. 1, 2 по совету snifer67 сделайте 1. Пофиксите в HiJack F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe, 2. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('H:\ZUEROB.exE',''); QuarantineFile('H:\zueRob.ExE',''); QuarantineFile('H:\autorun.inf',''); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); RegKeyParam-Del('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParam-Del('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\zueRob.ExE'); DeleteFile('H:\ZUEROB.exE'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(16); RebootWindows(true); end. Компьютер перезагрузится. 3. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. 4. Сделайте новые логи 1
Гость Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 (изменено) get запустил, drv.sys в приложении. Скрипт в AVZ не запускается, пишет "Ошибка ';' expected в позиции 11:12" Не пойму, вроде все ';' проставлены... drv.zip Изменено 25 декабря, 2009 пользователем h.s.thompson
akoK Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 Скрипт в AVZ не запускается, пишет "Ошибка ';' expected в позиции 11:12" Поправил опечатку AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\ZUEROB.exE',''); QuarantineFile('H:\zueRob.ExE',''); QuarantineFile('H:\autorun.inf',''); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteFile('H:\autorun.inf'); DeleteFile('H:\zueRob.ExE'); DeleteFile('H:\ZUEROB.exE'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(16); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Найдите файл fdc.sys и замените его на чистый из дистрибутива. Вот например: 1
Гость Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 (изменено) Сообщение от модератора thyrex virusinfo_cure - это карантин, который нам не нужен. Сделал логи, вирус по почте отправил virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 25 декабря, 2009 пользователем thyrex
akoK Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 (изменено) В карантине c:\windows\system32\csrcs.exe - Worm.Win32.AutoIt.tc G:\zueRob.ExE - Worm.Win32.AutoIt.tc Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\zueRob.ExE'); DeleteFile('G:\ZUEROB.exE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(true); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится. Повторите логи AVZ + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. h.s.thompson, эти логи до или после выполнения скрипта thyrex? Изменено 25 декабря, 2009 пользователем akoK
Гость Опубликовано 25 декабря, 2009 Опубликовано 25 декабря, 2009 (изменено) Самые последние логи: virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip hijackthis.log Изменено 26 декабря, 2009 пользователем h.s.thompson
snifer67 Опубликовано 26 декабря, 2009 Опубликовано 26 декабря, 2009 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\csrcs.exe'); DeleteFile('c:\windows\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\zueRob.ExE'); DeleteFile('G:\ZUEROB.exE'); BC_DeleteFile('c:\windows\system32\csrcs.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteRepair(19); RebootWindows(true); end. ПК перезагрузится. Сделайте новые логи.
akoK Опубликовано 26 декабря, 2009 Опубликовано 26 декабря, 2009 (изменено) В дополнение: Обновить Acrobat 7.0 => Acrobat 9.x Изменено 26 декабря, 2009 пользователем akoK
Гость Опубликовано 27 декабря, 2009 Опубликовано 27 декабря, 2009 Акробат обновил. Вот логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 27 декабря, 2009 Опубликовано 27 декабря, 2009 Плохого не увидел. Установите SP3 (может потребоваться активация) + все новые заплатки Установите Internet Explorer 8 Обновите JavaRE
Гость Опубликовано 29 декабря, 2009 Опубликовано 29 декабря, 2009 Кирдык полный. Ничего из вышеперечисленного не помогло, а, кроме всего, не помогла и переустановка винды. В только что загруженной новой версии винды "подключение по локальной сети ограничено или отсутствует". Автоматически определяется какой-то левый айпи типа 169.254.156.77 Установка айпи вручную тоже не помогает. Где засел вирус? Он мог заразить роутер? Что делать?
akoK Опубликовано 29 декабря, 2009 Опубликовано 29 декабря, 2009 Дайте комплект логов. Возможно, эксплуатируется уязвимость системы.
Гость Опубликовано 29 декабря, 2009 Опубликовано 29 декабря, 2009 логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти