iron 0 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 заражал флешки Autoran Сканировали ДВеб и АВП. ДВеб нашел - csrss.exe Комп в инет не выходил, но сейчас его хотят использовать для раасылки почты. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}'); QuarantineFile('C:\WINDOWS\system32\seaurypi.dll',''); QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe',''); DeleteService('Winwx63'); DeleteService('Winvi28'); DeleteService('Winrh83'); DeleteService('Winmj26'); DeleteService('Wingo48'); DeleteService('Winfl14'); DeleteService('Winat52'); DeleteService('sxM41'); DeleteService('siL06'); DeleteService('Rtr53'); DeleteService('rpS28'); DeleteService('Ril41'); DeleteService('rbL70'); DeleteService('pgC85'); DeleteService('Oux61'); DeleteService('neO57'); DeleteService('moP60'); DeleteService('ktP28'); DeleteService('kbE37'); DeleteService('jsO74'); DeleteService('Jdg61'); DeleteService('inQ26'); DeleteService('hxT13'); DeleteService('gwA46'); DeleteService('Gna71'); DeleteService('giE06'); DeleteService('fcX50'); DeleteService('Ehb86'); DeleteService('egC06'); DeleteService('dwS41'); DeleteService('Dqm63'); DeleteService('Cvg30'); DeleteService('coR37'); DeleteService('cdG41'); DeleteService('Byc68'); DeleteService('bgQ04'); DeleteService('Bgc26'); DeleteFile('C:\WINDOWS\System32\Drivers\Bgc26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\bgQ04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Byc68.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\cdG41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\coR37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cvg30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dqm63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\dwS41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\egC06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ehb86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\fcX50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\giE06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gna71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\gwA46.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\hxT13.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\inQ26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jdg61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\jsO74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\kbE37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ktP28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\moP60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\neO57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oux61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pgC85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rbL70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ril41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rpS28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rtr53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\siL06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\sxM41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winat52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingo48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmj26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrh83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvi28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwx63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ysO28.sys'); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'); DeleteFile('C:\WINDOWS\system32\seaurypi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\avhgmdttk\Parameters','ServiceDll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kasbersky Antivirus'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
iron 0 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 (изменено) Выполните скрипт в avz[Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Файл отправил. Не работает "Языковая панель" virusinfo_syscheck.zip hijackthis.log Изменено 13 июня, 2010 пользователем iron Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Выполните скрипт в avz begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end. ПК перезагрузится. что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 А также Выполните скрипт в AVZ begin BC_DeleteSvc('RpcLocatorSENS'); BC_DeleteSvc('PmlSysmonLog'); BC_DeleteSvc('mnmsrvcNla'); BC_DeleteSvc('DnscacheWZCSVC'); BC_DeleteSvc('AlerterMSIServer'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Цитата Ссылка на сообщение Поделиться на другие сайты
iron 0 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 ПК перезагрузится. что с проблемой? работает. Спасибо.А также Выполните скрипт в AVZ лог прикрепил virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Повторные логи не надо было делать Цитата Ссылка на сообщение Поделиться на другие сайты
iron 0 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 (изменено) Повторные логи не надо было делать А вдруг какая-то из служб не удалилась бы Что-то ответа нет от "Касперского". Хотя письмо от робота о том, что письмо будет передано на рассмотрение вирусному аналитику, я получил. Изменено 13 июня, 2010 пользователем iron Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Вы все верно сделали Чисто в логах Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Цитата Ссылка на сообщение Поделиться на другие сайты
iron 0 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 Чисто в логах Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Спасибо большое. ОС лицензионная стоит. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.