vandin Опубликовано 23 января, 2010 Опубликовано 23 января, 2010 Здравствуйте! У меня проблема с лечением Trojan-Clicker.Win32.Costrat.gb. При сканировании компьютера KIS2009 находит этот вирус и рекомендует лечение. После завершения сканирования компьютер сам перегружается. При повторном сканировании KIS2009 снова находит этот вирус . virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
миднайт Опубликовано 23 января, 2010 Опубликовано 23 января, 2010 Закройте/выгрузите все программы кроме AVZ и Internet Explorer. - Отключите ПК от интернета/локалки - Отключите Антивирус и Файрвол. - Отключите Системное восстановление. В HiJackThis пофиксите: R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - (no file) O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL В AVZ выполните скрипт: var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. После выполните скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}'); DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}'); DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}'); DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}'); QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL',''); QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL',''); QuarantineFile('C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll',''); DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL'); DeleteFile('C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll'); DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Сделайте новые логи.
vandin Опубликовано 24 января, 2010 Автор Опубликовано 24 января, 2010 А как пофиксить в HiJackThis ?
vandin Опубликовано 24 января, 2010 Автор Опубликовано 24 января, 2010 Stranniky Спасибо Высылаю новые логи Сделайте новые логи. Заранее благодарен. Высылаю новые логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
snifer67 Опубликовано 24 января, 2010 Опубликовано 24 января, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{35a6e2b1-27a9-47d2-913c-559e1ef1d034}'); DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Первый скрипт выполняли? Сделайте новые логи.
vandin Опубликовано 24 января, 2010 Автор Опубликовано 24 января, 2010 Все скрипты и GMER выполнил. Высылаю новые логи. Извините, что не поблагодрил Вас. gmer.log hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
akoK Опубликовано 24 января, 2010 Опубликовано 24 января, 2010 (изменено) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 1gq8rx10.exe случайное имя утилиты (gmer) 1gq8rx10.exe -del file "C:\WINDOWS\System32\drivers\59110561.sys" 1gq8rx10.exe -del service 59110561 1gq8rx10.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\59110561" 1gq8rx10.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\59110561" 1gq8rx10.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Изменено 24 января, 2010 пользователем akoK
vandin Опубликовано 25 января, 2010 Автор Опубликовано 25 января, 2010 Спасибо. Все получилось. KIS больше ненаходит вируса.
Mark D. Pearlstone Опубликовано 25 января, 2010 Опубликовано 25 января, 2010 Спасибо. Все получилось. KIS больше ненаходит вируса. Всё равно сделайте новый лог gmer.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти