[Drongo]

Ixtance, Вот рекомендации.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\rQTG7XT.exe,

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\rqtg7xt.exe','');
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 DeleteFile('C:\WINDOWS\winstart.bat');
 DeleteFile('\\?\globalroot\systemroot\system32\rqtg7xt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи.

[Ixtance]

Так.

[Drongo]

Ваши DNS ? Если нет, то пофиксить.

Цитата:

O17 - HKLM\System\CCS\Services\Tcpip\..\{76240503-8747-47CB-AC01-7628A6A8FFB1}: NameServer = 8.8.8.8,8.8.4.4

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ClearQuarantine;
 ExecuteRepair(1);
 ExecuteRepair(6);
 RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

[thyrex]

Цитата Drongo:

Ваши DNS ? Если нет, то пофиксить. »

Это Google Open DNS

[Drongo]

Цитата thyrex:

Это Google Open DNS »

Блин, точно, забыл.

[Ixtance]

Готово.

[Ixtance]

Что, неужели всё чисто и ничего больше делать не надо?

К несчастью, нерадивый пользователь заразил сабжем другой компьютер.
Симптомы те же: не обновляется AVZ и т.д.

Вот его логи:

[thyrex]

В первых логах нничего плохого не видно


Теперь по второму

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\Temp\init.exe,\\?\globalroot\systemroot\system32\RS6pcj9.exe,\\?\globalroot\systemroot\system32\wFYSzzS.exe,
O2 - BHO: (no name) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - (no file)
O3 - Toolbar: (no name) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - (no file)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\wFYSzzS.exe','');
 QuarantineFile('C:\Windows\Temp\init.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysmon32.exe','');
 DeleteFile('C:\WINDOWS\system32\sysmon32.exe');
 DeleteFile('C:\Windows\Temp\init.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\wFYSzzS.exe');
DeleteService('sysmon32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

[Ixtance]

читать дальше »

Вот.

[thyrex]

Плохого не видно. Что с проблемой?