Лже антивирус + блок всех действий [LOG+]

[JIABP(TEST)]

Это Лавр. Сижу у человека, у него лже антивирус, который мешал запустится ЕSS 3.0. Провёл скан рескью сиди 2009ки с тудейными базами, однако она удалил кучу дряни, но не его. Загрузившись в безопаске, я нашёл в автозапуске эту дрянь и вместо того что бы сохранить и потом в вир лаб - просто удалил, зато смог каспера поставить. + я ещё пару скринов сделал. как домой приду - выложу. пока очень нужно что бы проверили логи.

 

Олег посоветовал на сайте ТП скачать клвк из статьи 55.лооги делаются пока

 

logs.rarбирабиджан

 

 

 

Вы не можете отправлять другие личные сообщения до 25.05.2009, 0:12. Эта мера - защита от спама.

Изменено 24 мая, 2009 пользователем JIABP(TEST)

[Falcon]

А пароль какой?

[JIABP]

А пароль какой?

ЛС

 

---------

 

[akoK]

Лавр, мы ж по скринам не помогаем

 

Как удалить System Security

[Falcon]

Вот, выполни в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ati3ytxx');
DeleteService('ati2uxxx');
DeleteService('ati7ctxx');
DeleteService('ati8ggxx');
DeleteService('ati4jtxx');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2uxxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati3ytxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati4jtxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati7ctxx.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati8ggxx.sys');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('digiwet.dll');
DeleteFile('C:\Temp\tmp5.tmp');
BC_ImportAll;
BC_DeleteSvc('ati3ytxx');
BC_DeleteSvc('ati2uxxx');
BC_DeleteSvc('ati7ctxx');
BC_DeleteSvc('ati8ggxx');
BC_DeleteSvc('ati4jtxx');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Потом такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправь quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus.

 

 

Пофиксить:

O9 - Extra button: (no name) - autorunsdisabled - (no file)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\

 

В AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

Новые логи ждем.

 

Скачай Malwarebytes' Anti-Malware, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Открой лог и скопируй в сообщение.

 

Скачай Gmer. Запусти программу. После автоматической экспресс-проверки, отметь галочкой все жесткие диски и нажми на кнопку "Scan". После окончания проверки сохрани его лог (нажми на кнопку Save) под любым именем, например Gmer.log и прикрепи лог сюда.