1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Как долечить компьютер до конца

Тема в разделе "Лечение компьютерных вирусов", создана пользователем СинТай, 30 апр 2010.

Статус темы:
Закрыта.
  1. СинТай
    Оффлайн

    СинТай Активный пользователь

    Сообщения:
    10
    Симпатии:
    3
    Баллы:
    233
    Помогите долечить до победного конца комп из локальной сети, был сильно заражен, в т.ч. "winupd01". Согласно инструкции прилагаю файлы. Заранее благодарен (Перезагрузка в безопасном режиме была невозможна)
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      17,5 КБ
      Просмотров:
      6
    • virusinfo_syscheck.zip
      Размер файла:
      17,5 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      16,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      23,6 КБ
      Просмотров:
      1
    Последнее редактирование: 30 апр 2010
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\docume~1\c99a~1.sto\locals~1\temp\mkdsavaihvacsc.sys','');
     QuarantineFile('c:\docume~1\c99a~1.sto\locals~1\temp\jqenqjrtdvsi.sys','');
     QuarantineFile('c:\docume~1\c99a~1.sto\locals~1\temp\rcwglxlknbui.sys','');
     QuarantineFile('C:\WINDOWS\system32\mezipynoow.exe','');
     QuarantineFile('C:\WINDOWS\system32\vakiz.exe','');
     DeleteFile('C:\WINDOWS\system32\mezipynoow.exe');
     DeleteFile('C:\WINDOWS\system32\vakiz.exe');
     DeleteFile('c:\docume~1\c99a~1.sto\locals~1\temp\mkdsavaihvacsc.sys');
     DeleteFile('c:\docume~1\c99a~1.sto\locals~1\temp\jqenqjrtdvsi.sys');
     DeleteFile('c:\docume~1\c99a~1.sto\locals~1\temp\rcwglxlknbui.sys');
     DeleteService('bwhozmmywdou');
     DeleteService('glerxyu');
     DeleteService('lntdohewtchxyy');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(1);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Включите все, что отключили при помощи msconfig и повторите логи
     
    8 пользователям это понравилось.
  4. СинТай
    Оффлайн

    СинТай Активный пользователь

    Сообщения:
    10
    Симпатии:
    3
    Баллы:
    233
    Карантин выслал на указанный адрес, новые логи прилагаю. Первая перезагрузка не прошла, пришлось делать ресет вручную
     

    Вложения:

    Последнее редактирование: 30 апр 2010
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\mezipynoow.exe');
     DeleteFile('C:\WINDOWS\system32\vakiz.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jube');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','woumiroo');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(10);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи для контроля.

    Добавлено через 39 секунд
    И логи RSIT не забудьте.

    Добавлено через 16 минут 34 секунды
    В карантин ничего вредоносного не попало.
     
    4 пользователям это понравилось.
  6. СинТай
    Оффлайн

    СинТай Активный пользователь

    Сообщения:
    10
    Симпатии:
    3
    Баллы:
    233
    Выполнено. Выкладываю дополнительные логи:
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      16,9 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      17,1 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      16,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      23 КБ
      Просмотров:
      1
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Радмина сами устанавливали?

    Bonjour Service нужен?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteStdScr(6);
     RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    И включите восстановление системы.

    Что с проблемами?
     
    2 пользователям это понравилось.
  8. СинТай
    Оффлайн

    СинТай Активный пользователь

    Сообщения:
    10
    Симпатии:
    3
    Баллы:
    233
    Большое спасибо за оказанную помощь. РАдмина ставили сами (шеф любитель большой...). Бонжур снес, т.к. пользователь округлила глаза при упоминании, что у нее есть такая служба на компе. Скрипт выполнен. После рестарта наблюдались остаточные явления: в автозагрузке торчала пустая ссылка, перед появлением окна входа в систему выскакивало предупреждение с нечитаемыми символами... удалено вручную с АнВиром. Безопасный режим заработал, жизнь нормализовалась )) правда есть еще ряд "подозрительных компов" в сетке.
     
Статус темы:
Закрыта.

Поделиться этой страницей