iron Опубликовано 13 июня, 2010 Опубликовано 13 июня, 2010 заражал флешки Autoran Сканировали ДВеб и АВП. ДВеб нашел - csrss.exe Комп в инет не выходил, но сейчас его хотят использовать для раасылки почты. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
snifer67 Опубликовано 13 июня, 2010 Опубликовано 13 июня, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}'); QuarantineFile('C:\WINDOWS\system32\seaurypi.dll',''); QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe',''); DeleteService('Winwx63'); DeleteService('Winvi28'); DeleteService('Winrh83'); DeleteService('Winmj26'); DeleteService('Wingo48'); DeleteService('Winfl14'); DeleteService('Winat52'); DeleteService('sxM41'); DeleteService('siL06'); DeleteService('Rtr53'); DeleteService('rpS28'); DeleteService('Ril41'); DeleteService('rbL70'); DeleteService('pgC85'); DeleteService('Oux61'); DeleteService('neO57'); DeleteService('moP60'); DeleteService('ktP28'); DeleteService('kbE37'); DeleteService('jsO74'); DeleteService('Jdg61'); DeleteService('inQ26'); DeleteService('hxT13'); DeleteService('gwA46'); DeleteService('Gna71'); DeleteService('giE06'); DeleteService('fcX50'); DeleteService('Ehb86'); DeleteService('egC06'); DeleteService('dwS41'); DeleteService('Dqm63'); DeleteService('Cvg30'); DeleteService('coR37'); DeleteService('cdG41'); DeleteService('Byc68'); DeleteService('bgQ04'); DeleteService('Bgc26'); DeleteFile('C:\WINDOWS\System32\Drivers\Bgc26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\bgQ04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Byc68.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\cdG41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\coR37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cvg30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dqm63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\dwS41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\egC06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ehb86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\fcX50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\giE06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gna71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\gwA46.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\hxT13.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\inQ26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jdg61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\jsO74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\kbE37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ktP28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\moP60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\neO57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oux61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pgC85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rbL70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ril41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rpS28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rtr53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\siL06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\sxM41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winat52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingo48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmj26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrh83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvi28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwx63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ysO28.sys'); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'); DeleteFile('C:\WINDOWS\system32\seaurypi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\avhgmdttk\Parameters','ServiceDll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kasbersky Antivirus'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи.
iron Опубликовано 13 июня, 2010 Автор Опубликовано 13 июня, 2010 (изменено) Выполните скрипт в avz[Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Файл отправил. Не работает "Языковая панель" virusinfo_syscheck.zip hijackthis.log Изменено 13 июня, 2010 пользователем iron
snifer67 Опубликовано 13 июня, 2010 Опубликовано 13 июня, 2010 Выполните скрипт в avz begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end. ПК перезагрузится. что с проблемой?
thyrex Опубликовано 13 июня, 2010 Опубликовано 13 июня, 2010 А также Выполните скрипт в AVZ begin BC_DeleteSvc('RpcLocatorSENS'); BC_DeleteSvc('PmlSysmonLog'); BC_DeleteSvc('mnmsrvcNla'); BC_DeleteSvc('DnscacheWZCSVC'); BC_DeleteSvc('AlerterMSIServer'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится.
iron Опубликовано 13 июня, 2010 Автор Опубликовано 13 июня, 2010 ПК перезагрузится. что с проблемой? работает. Спасибо.А также Выполните скрипт в AVZ лог прикрепил virusinfo_syscheck.zip hijackthis.log
iron Опубликовано 13 июня, 2010 Автор Опубликовано 13 июня, 2010 (изменено) Повторные логи не надо было делать А вдруг какая-то из служб не удалилась бы Что-то ответа нет от "Касперского". Хотя письмо от робота о том, что письмо будет передано на рассмотрение вирусному аналитику, я получил. Изменено 13 июня, 2010 пользователем iron
thyrex Опубликовано 13 июня, 2010 Опубликовано 13 июня, 2010 Вы все верно сделали Чисто в логах Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь)
iron Опубликовано 13 июня, 2010 Автор Опубликовано 13 июня, 2010 Чисто в логах Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Спасибо большое. ОС лицензионная стоит.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти