Sfera Опубликовано 12 января, 2010 Опубликовано 12 января, 2010 Добрый день! Познакомилась вчера с вымогателем. Подробности моей суточной борьбы описывать не буду.. Могу сказать только, жуткая вещь. Окно с надписью:Ваш компьютер инфицирован, запомню надолго. Вобщем, своими силами и силами первого программиста справиться с трояном не удалось, сидели с 22.00 до 4 утра. Подумывала уже о переустановке винды, но решила воспользоваться платными услугами Сервис службы. И мне помогли.. аж за 4000 руб. Будет мне урок, жадине. "Излечилась" методом ввода кода в окно. После ухода сотрудника Сервис службы дк. Веб нашел еще двух троянов в папке ТЕМР, потом антивирь нашел еще 2 файла. Я забеспокоилась. может и не удалился этот троян совсем, а живет себе до поры до времени? Помогите, пожалуйста virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
snifer67 Опубликовано 12 января, 2010 Опубликовано 12 января, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\TEMP\X5u1jY7D.sys',''); QuarantineFile('c:\windows\system32\skeysrvc.exe',''); DeleteFile('C:\TEMP\X5u1jY7D.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи.
Sfera Опубликовано 12 января, 2010 Автор Опубликовано 12 января, 2010 (изменено) ок..спасибо новые логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 12 января, 2010 пользователем Sfera
sasha1381 Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 Посмотри еще здесь. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ и в UserInit должно только "C:\WINNT\system32\userinit.exe". если в строке "C:\WINNT\system32\userinit.exe" есть еще какой то файлик, то 99% вирусный и смотри где находиться Строгое предупреждение от модератора ТроПа Уважаемый sasha1381, конечно в строчке C:\WINNT\system32\userinit.exe обязательно должна быть запятая в конце, кроме того, выложены логи от 2-х утилит, которые с вероятностью 99,99% покажут изменение в запуске userinit.exe. На будущее воздержитесь от подобных советов.
akoK Опубликовано 13 января, 2010 Опубликовано 13 января, 2010 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\drivers\hlemu.SYS',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SetAVZPMStatus(true); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится. Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Повторите логи. Изменено 15 января, 2010 пользователем akoK
Sfera Опубликовано 13 января, 2010 Автор Опубликовано 13 января, 2010 (изменено) skeysrvc.exe Вредоносный код в файле не обнаружен. Здравствуйте, уважаемый akoK . Спасибо,что приняли участие в моей проблеме. Деинсталировать ComboFix не удалось. После ввода в командную строку, выдало ошибку..файл не найден. Изменено 13 января, 2010 пользователем Sfera
ТроПа Опубликовано 14 января, 2010 Опубликовано 14 января, 2010 Сообщение от модератора ТроПа Честь сообщений перенесена в отдельную тему
Sfera Опубликовано 14 января, 2010 Автор Опубликовано 14 января, 2010 не закрывайте, пожалуйста тему.. завтра выложу все логи
Sfera Опубликовано 15 января, 2010 Автор Опубликовано 15 января, 2010 (изменено) Скрипты сделала OTCleanIt прошлась лог gmer прилагаю 2.log Изменено 15 января, 2010 пользователем Sfera
snifer67 Опубликовано 15 января, 2010 Опубликовано 15 января, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); BC_QrFile('C:\WINDOWS\Cursors\up_m.cur'); DeleteFile('C:\WINDOWS\Cursors\up_m.cur'); BC_QrFile('C:\WINDOWS\Cursors\up_m.cur:RVSFFA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. ПК перезагрузится. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте логи avz. 2
Sfera Опубликовано 16 января, 2010 Автор Опубликовано 16 января, 2010 Скрипт выполнила, карантин отправила, логи прилагаю virusinfo_syscure.zip virusinfo_syscheck.zip
Sfera Опубликовано 16 января, 2010 Автор Опубликовано 16 января, 2010 quarantine.zip Вредоносный код в файле не обнаружен.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти