[решено] Баннер попрошайка

help? · Отправлено: **15:45, 15-07-2010** | #2

Здравствуйте, смотрю логи.

icotonev · Отправлено: **15:51, 15-07-2010** | #3

Добрый день..!

Пофиксить в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\OvUdNsn.exe,
O20 - Winlogon Notify: csbdll - csbdll.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\media\kasper_zaebal.exe');
 QuarantineFile('c:\documents and settings\all users\media\kasper_zaebal.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\uiucu.exe','');
 QuarantineFile('c:\documents and settings\admin\csrss.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ovudnsn.exe','');
 QuarantineFile('csbdll.dll','');
 DeleteFile('c:\documents and settings\all users\media\kasper_zaebal.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\uiucu.exe');
 DeleteFile('c:\documents and settings\admin\csrss.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ovudnsn.exe');
 DeleteFile('csbdll.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','UIUCU');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SysModule');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Скачайте AVZ 4.34

Сделайте новые логи..!

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Zuxel · Конфигурация компьютера

Спасибо, помогло.

icotonev · Отправлено: **16:14, 15-07-2010** | #5

Zuxel,Необходимо продолжения лечения.. Пожалуйста, подготовить рекомендации из пост # 3..!

Цитата:

Скачайте AVZ 4.34

Сделайте новые логи..!

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

icotonev · Отправлено: **17:33, 15-07-2010** | #6

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\system32\fb687a.exe','');
  QuarantineFile('C:\WINDOWS\system32\drivers\CzhrF.exe','');
   DeleteFile('C:\WINDOWS\system32\drivers\CzhrF.exe');
   DeleteFile('C:\WINDOWS\system32\fb687a.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

thyrex · Конфигурация компьютера

А также

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('winudpmgr.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ittdwtjf.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\ittdwtjf.sys');
 DeleteFile('winudpmgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows UDP Control Center');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows UDP Control Center');
DeleteService('ittdwtjf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

После этого делайте новые логи