[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cmstp.exe','');
 QuarantineFile('C:\Documents and Settings\Ludmila\Local Settings\Temp\TMP9.tmp','');
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\WINDOWS\rak.kul','');
 DeleteFile('C:\WINDOWS\rak.kul');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
 DeleteFile('C:\thumbs.db');
 DeleteFile('C:\Documents and Settings\Ludmila\Local Settings\Temp\TMP9.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

У Вас вирус, ворующий пароли. Как можно быстрее смените все пароли. Этот же вирус блокирует доступ к антивирусным сайтам.

Пробуйте скачать обычный AVZ, обновите его базы и сделайте новые логи. Пробуйте сделать лог HiJack (если не будет получаться, переименуйте HiJack)

[homychok]

Цитата thyrex:

Пробуйте скачать обычный AVZ, обновите его базы и сделайте новые логи. »

Обновление не проходит, ругается на старую версию (4.30) хотя скачиваю с офсайта вроде, помеченную как 4.32...

Письмо отправил

[Drongo]

homychok, Скачайте отсюда - базы обновлены сегодня.

[homychok]

Цитата:

homychok, Скачайте отсюда - базы обновлены сегодня.

не запускается avz

[Drongo]

Цитата homychok:

не запускается avz »

Переименуйте его в 123.com или воспользуйтесь полиморфной версией - (от 04.06.10)

[homychok]

Переименовал, заработало, прикладываю логи
Скачал и установил nod32, после проверки на вирусы просит перезгрузки и зависает в самом начале загрузки.
после удаления антивируса через safe mode комп грузится нормально.

[Drongo]

homychok, Выполните скрипт

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Приложите к следующему сообщению файл fystemRoot.log

Потом этот скрипт

Код:

begin
 ExecuteRepair(9);
 ExecuteRepair(20);
RebootWindows(true);
end.

Попробуйте после выполнения скриптов скачать и запустить антивирус.

Повторите логи + HiJackThis

[homychok]

Цитата:

Попробуйте после выполнения скриптов скачать и запустить антивирус.

с нод32 ситуация повторяется, логи прикладываю

при выполнении скриптов в аське набирается вот такой текст

Цитата:

еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуы ееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыее уыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуы ееуыееуые

[help?]

Цитата homychok:

при выполнении скриптов в аське набирается вот такой »

Я еще не увидел, но скорее всего это проверка авз на клавиатурные перехватчики.