movik Опубликовано 29 апреля, 2009 Поделиться Опубликовано 29 апреля, 2009 вот логи: avz переименован в game.pif, а HiJackThis ---- home.pif а также скриншот, что делать с файлом iedw.exe virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 29 апреля, 2009 Поделиться Опубликовано 29 апреля, 2009 (изменено) Отключите восстановление системы Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\umrsoux.exe',''); QuarantineFile('C:\8ng8w.com',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\avpo.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\System Volume Information\_restore{55AC2215-4CD5-469E-BAEE-D9A914DF5DCA}\RP171\A0022255.com',''); QuarantineFile('\7668-NendangBro.com',''); QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\RavMonE.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\br4743on.exe',''); QuarantineFile('C:\WINDOWS\KesenjanganSosial.exe',''); QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe',''); DeleteService('System Scheduler'); QuarantineFile('C:\WINDOWS\system32\avpo0.dll',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); QuarantineFile('C:\Program Files\Common Files\System\ssecbjf.exe',''); DeleteFile('C:\Program Files\Common Files\System\ssecbjf.exe'); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\avpo0.dll'); DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe'); DeleteFile('C:\WINDOWS\KesenjanganSosial.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\br4743on.exe'); DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\RavMonE.exe'); DeleteFile('\7668-NendangBro.com'); DeleteFile('C:\System Volume Information\_restore{55AC2215-4CD5-469E-BAEE-D9A914DF5DCA}\RP171\A0022255.com'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\avpo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\8ng8w.com'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\8ng8w.com'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\8ng8w.com'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\umrsoux.exe'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteFileMask('C:\Documents and Settings\Владелец\Local Settings\Temp\', '*.*', true ); DeleteFile('C:\Windows\Tasks\At1.job'); DeleteFile('C:\Windows\Tasks\At2.job'); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); ExecuteRepair(17); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" O4 - HKLM\..\Run: [dlkphjj] C:\Program Files\Common Files\System\ssecbjf.exe O4 - HKLM\..\Run: [durjgxr] C:\Program Files\Common Files\Microsoft Shared\umrsoux.exe O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Сделайте новые логи Изменено 29 апреля, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти