iron Опубликовано 13 июня, 2010 Поделиться Опубликовано 13 июня, 2010 заражал флешки Autoran Сканировали ДВеб и АВП. ДВеб нашел - csrss.exe Комп в инет не выходил, но сейчас его хотят использовать для раасылки почты. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 13 июня, 2010 Поделиться Опубликовано 13 июня, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}'); QuarantineFile('C:\WINDOWS\system32\seaurypi.dll',''); QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe',''); DeleteService('Winwx63'); DeleteService('Winvi28'); DeleteService('Winrh83'); DeleteService('Winmj26'); DeleteService('Wingo48'); DeleteService('Winfl14'); DeleteService('Winat52'); DeleteService('sxM41'); DeleteService('siL06'); DeleteService('Rtr53'); DeleteService('rpS28'); DeleteService('Ril41'); DeleteService('rbL70'); DeleteService('pgC85'); DeleteService('Oux61'); DeleteService('neO57'); DeleteService('moP60'); DeleteService('ktP28'); DeleteService('kbE37'); DeleteService('jsO74'); DeleteService('Jdg61'); DeleteService('inQ26'); DeleteService('hxT13'); DeleteService('gwA46'); DeleteService('Gna71'); DeleteService('giE06'); DeleteService('fcX50'); DeleteService('Ehb86'); DeleteService('egC06'); DeleteService('dwS41'); DeleteService('Dqm63'); DeleteService('Cvg30'); DeleteService('coR37'); DeleteService('cdG41'); DeleteService('Byc68'); DeleteService('bgQ04'); DeleteService('Bgc26'); DeleteFile('C:\WINDOWS\System32\Drivers\Bgc26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\bgQ04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Byc68.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\cdG41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\coR37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Cvg30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dqm63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\dwS41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\egC06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ehb86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\fcX50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\giE06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gna71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\gwA46.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\hxT13.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\inQ26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jdg61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\jsO74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\kbE37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ktP28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\moP60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\neO57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oux61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pgC85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rbL70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ril41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rpS28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rtr53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\siL06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\sxM41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winat52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingo48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmj26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrh83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvi28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwx63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ysO28.sys'); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'); DeleteFile('C:\WINDOWS\system32\seaurypi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\avhgmdttk\Parameters','ServiceDll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kasbersky Antivirus'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
iron Опубликовано 13 июня, 2010 Автор Поделиться Опубликовано 13 июня, 2010 (изменено) Выполните скрипт в avz[Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Файл отправил. Не работает "Языковая панель" virusinfo_syscheck.zip hijackthis.log Изменено 13 июня, 2010 пользователем iron Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 13 июня, 2010 Поделиться Опубликовано 13 июня, 2010 Выполните скрипт в avz begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end. ПК перезагрузится. что с проблемой? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 13 июня, 2010 Поделиться Опубликовано 13 июня, 2010 А также Выполните скрипт в AVZ begin BC_DeleteSvc('RpcLocatorSENS'); BC_DeleteSvc('PmlSysmonLog'); BC_DeleteSvc('mnmsrvcNla'); BC_DeleteSvc('DnscacheWZCSVC'); BC_DeleteSvc('AlerterMSIServer'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Ссылка на комментарий Поделиться на другие сайты Поделиться
iron Опубликовано 13 июня, 2010 Автор Поделиться Опубликовано 13 июня, 2010 ПК перезагрузится. что с проблемой? работает. Спасибо.А также Выполните скрипт в AVZ лог прикрепил virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 13 июня, 2010 Поделиться Опубликовано 13 июня, 2010 Повторные логи не надо было делать Ссылка на комментарий Поделиться на другие сайты Поделиться
iron Опубликовано 13 июня, 2010 Автор Поделиться Опубликовано 13 июня, 2010 (изменено) Повторные логи не надо было делать А вдруг какая-то из служб не удалилась бы Что-то ответа нет от "Касперского". Хотя письмо от робота о том, что письмо будет передано на рассмотрение вирусному аналитику, я получил. Изменено 13 июня, 2010 пользователем iron Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 13 июня, 2010 Поделиться Опубликовано 13 июня, 2010 Вы все верно сделали Чисто в логах Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Ссылка на комментарий Поделиться на другие сайты Поделиться
iron Опубликовано 13 июня, 2010 Автор Поделиться Опубликовано 13 июня, 2010 Чисто в логах Установите SP3 (может потребоваться активация) + все новые патчи Установите Internet Explorer 8 (даже если им не пользуетесь) Спасибо большое. ОС лицензионная стоит. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти