Перейти к содержанию

zaberg.exe; medpdb.exe; sadrive32


Рекомендуемые сообщения

Антивирусник распознал указанные файлы как вирусы, частично удалил, частично я сам, но не уверен. Может еще какие вирусы имеются.Требуется помощь.

 

О. Я вижу со своим добром не первый здесь.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFileF('C:\Documents and Settings\GIGAZOID\Application Data', '*.tmp', false,'', 0, 0, '04.04.2012', '06.04.2012');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\41D.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\41C.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\41B.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\9.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\8.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\7.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\6.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\2.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\1.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\3D.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\3C.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\3B.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\12.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\11.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\10.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\F.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\E.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\3A.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\39.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\37.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\17.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\16.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\15.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\5.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\4.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\3.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\36.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\33.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\32.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\30.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\2F.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\4D.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\4C.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\4B.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\38.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\35.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\34.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\2E.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\2D.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\2C.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\D.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\C.tmp');
DeleteFile('C:\Documents and Settings\GIGAZOID\Application Data\B.tmp');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\zaber0');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Medpdb');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты

Первый скрипт я смог выполнить только в безопасном режиме. В обычном режиме систематически вываливалось синее окно аппаратных проблем с надписью: "The problem seems to be caused by the following file: SYMTDI.SYS". У меня стоит "Symantec AntiVirus 2005", это его файл. Пробовал отключать службы "Symantec AntiVirus" - не помогло.

Все сделал. Карантин отправил, ответа пока нет.

Вот новые логи. Прошу дальнейшей помощи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

 

C:\Documents and Settings\GIGAZOID\Application Data\31.tmp удалите вручную. Больше плохого не увидел

Ссылка на сообщение
Поделиться на другие сайты

Удалил. "HijackThis" v. 2.0.4 взял отсюда http://sourceforge.net/projects/hjt/ , нормально?

Пофиксил. Спасибо за помощь.

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты
Установите все новые обновления для Windows

 

На этом все

Да, спасибо. По поводу обновлений в курсах, может додумаются кумулятивное обновление выкатить.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...