Решена Контрольная проверка после файлового вируса!

Статус
В этой теме нельзя размещать новые ответы.

siv21102

Активный пользователь
Сообщения
201
Симпатии
4
Баллы
398
#1
Здравстрвуйте. На машине обнаружен файловый вирус, как и в моей последнй теме, (незаконченной, сканирую пока тот комп с помощью лайв СD).
Данный компьютер также полечил LiveCD от DrWeb, а также CureIt - Dr.Web
Вирус был Sector.12 троянчики в списке промелькали тоже:)
Проверьте пожалуйста наличие вредоносов! Заранее спасибо!
 

Вложения

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
Баллы
363
#2
Смотрю логи, скоро отвечу...

Добавлено через 6 минут 17 секунд
Здравствуйте!!!

- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\jate.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\hjco.exe','');
 QuarantineFile('C:\WINDOWS\System32\tcpwakslib.exe','');
 QuarantineFile('C:\Program Files\imcssm.exe','');
 QuarantineFile('C:\Program Files\icieyi.exe','');
 QuarantineFile('C:\WINDOWS\system32\G001.exe','');
 DeleteFile('C:\WINDOWS\system32\G001.exe');
 DeleteFile('C:\Program Files\icieyi.exe');
 DeleteFile('C:\Program Files\imcssm.exe');
 DeleteFile('C:\WINDOWS\System32\tcpwakslib.exe');
 DeleteFile('C:\WINDOWS\system32\hjco.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
 DeleteFile('C:\WINDOWS\system32\jate.exe');
 DelCLSID('{9F6CB7FC-F0DD-4458-9F58-F2CB81C5E87E}');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('bts');
 BC_DeleteSvc('MSUpdqtejyf');
 BC_DeleteSvc('qhUlNflD');
 BC_DeleteSvc('WaksSvc');
 BC_DeleteSvc('WMMNetworkKtx');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки AVZ загрузите через форму. Укажите ссылку на тему и ник на форуме.

- Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows

- Повторите логи

+ Сделайте лог MBAM
 
Последнее редактирование:

siv21102

Активный пользователь
Сообщения
201
Симпатии
4
Баллы
398
#4
это другой комп, похожие симптомы просто! Та тема в работе, он сейчас дома под LIVECD сканируется а я на работе лечу ноутбук :) У меня такого добра как вирусы полна коробочка, колеги, друзья, родственники и прочее :)


Карантин по этой теме послал. Делаю новые логи АВЗ
 
Последнее редактирование:

siv21102

Активный пользователь
Сообщения
201
Симпатии
4
Баллы
398
#6
Выкладываю логи. По MBAM сообщаю следующее: Провел быстрое сканирование. Т.к. не успею до конца рабочего дня! Если в данном случае это принципиально, тогда оставлю его на полной проверке на ночь!
Я его в полном режиме проверки запускал в принципе вчера, нашел кучу всего, я все удалил!

Решил показать вчерашний лог, правда не знаю имеет ли это смысл!?
Сервис пака 3 под рукой не имею, так что пока данную рекомендацию опущу!
 

Вложения

Последнее редактирование:

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
Баллы
363
#7
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\aadrive32.exe','');
 QuarantineFile('C:\WINDOWS\jodrive32.exe','');
 QuarantineFile('C:\WINDOWS\jxdrive32.exe','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\87.tmp','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\6.tmp','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\C.tmp','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\E.tmp','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\17.tmp','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\2C.tmp','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\30.tmp','');
 DeleteFile('C:\WINDOWS\aadrive32.exe');
 DeleteFile('C:\WINDOWS\jodrive32.exe');
 DeleteFile('C:\WINDOWS\jxdrive32.exe');
 DeleteFile('C:\Documents and Settings\1\Application Data\87.tmp');
 DeleteFile('C:\Documents and Settings\1\Application Data\6.tmp');
 DeleteFile('C:\Documents and Settings\1\Application Data\C.tmp');
 DeleteFile('C:\Documents and Settings\1\Application Data\E.tmp');
 DeleteFile('C:\Documents and Settings\1\Application Data\17.tmp');
 DeleteFile('C:\Documents and Settings\1\Application Data\2C.tmp');
 DeleteFile('C:\Documents and Settings\1\Application Data\30.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\87.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\6.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\C.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\E.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\17.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\2C.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\1\Application Data\30.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки AVZ загрузите через форму. Укажите ссылку на тему и ник на форуме.

Выполните в АВЗ скрипт отсюда

Нужно обязательно обновляться:

- Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows

И давайте все таки полный MBAM посмотрим;)
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,802
Баллы
743
#9
siv21102, в скрипте нет ошибок, проверьте: все ли символы вы скопировали?
 

siv21102

Активный пользователь
Сообщения
201
Симпатии
4
Баллы
398
#10
О, сейчас "пробежал" причины не понятны копировал с флешки из файла txt также как и при первой попытке!


Подскажите пожалуйста, по какой причине (своими словами) мне понадобился данный скрипт???
 

Вложения

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
Баллы
363
#11
Подскажите пожалуйста, по какой причине (своими словами) мне понадобился данный скрипт???
Были повреждены службы отвечающие за обновление системы.

Лог РСИТ сделайте.
 

siv21102

Активный пользователь
Сообщения
201
Симпатии
4
Баллы
398
#12
Комп до следующей недели недоступен!
 

siv21102

Активный пользователь
Сообщения
201
Симпатии
4
Баллы
398
#13
Спасибо за помощь, закройте тему как решенную, с буком все хорошо. мне его больше не принесут!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу