Решена После autorun.inf проверьте логи пожалуйста

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Rins, 8 апр 2012.

Статус темы:
Закрыта.
  1. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    Здравствуйте.
    Посмотрите пожалуйста лог.
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Rins, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Rins, а где логи Rsit?

    Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Diman\Application Data\rmhzb.exe','');
     QuarantineFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe','');
     DeleteFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe');
     DeleteFile('C:\Documents and Settings\Diman\Application Data\rmhzb.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zmwewd');
     RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
    AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

    У вас установлен МВАМ, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    Повторите AVZ - стандартный скрипт №2, сделайте логи Rsit и прикрепите их к сообщению.

    Поисковик Ask.com используете?
     
    Последнее редактирование: 8 апр 2012
    1 человеку нравится это.
  4. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    Здравствуйте!
    А мы Rsit еще не проходили. (шутка)
    Спасибо!
    С диспетчером задач все окей.
    Стоит надстройка интерфейса со свистелками и перделками.
    MBAM выдал по нолям. avz точно такой же лог выдает.


    ..
    Доступа к системе пока нет.
    Меры можно принимать только через флешку с bat для запуска через командную строку из него утилит лечения (с запуском через avz_script.txt).

    Естественно нет.

    Добавлено через 16 минут 3 секунды
    Кстати это оттуда же
    Код (Text):
    C:\WINDOWS\system32\cleanmgr.exe /D %c
    Скрипт: Kарантин, Удалить, Удалить через BC --  Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath,
    Можно пояснить, что это за ключь?
     
    Последнее редактирование модератором: 8 апр 2012
  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Ключ запуска очистки диска D.
    Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Diman\Application Data\rmhzb.exe','');
     QuarantineFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe','');
     QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
     DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
     DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
     DeleteFile('C:\Documents and Settings\Diman\Application Data\Zmwewd.exe');
     DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zmwewd');
     RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
    AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

    Повторите AVZ - стандартный скрипт №2 из нормального режима, сделайте логи Rsit и прикрепите их к сообщению.
     
    1 человеку нравится это.
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Rins, прости любопытство, а что с системой ? почему нельзя нормально запустить утилиты? Они просто не открываются или что ?
     
  7. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    regist,
    Все запускается.
    Система удаленная. Связь через флешку.
    Оператор может лишь вставить флешдрайв, запустить ярлык, вынуть флешдрайв.

    shestale,
    Ок, спасибо, будем делать.
     
Статус темы:
Закрыта.

Поделиться этой страницей