Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Зараженный ноутбук (http://forum.oszone.net/showthread.php?t=240173)

rzdpasha 07-08-2012 23:32 1966535
Зараженный ноутбук
 
Принесли ноутбук с неработающими "Одноклассниками", только зарядку забыли. Пришлось снимать HDD и сканировать на своём компьютере при помощи KAV2012. Вылечено, но как всегда "корни" остались. Успел заметить, что AVZ ругнулся на klif.sys, да и не только. При старте системы успевают проскочить два консольных окошка, что подозрительно. При помощи msconfig убрал всё видимое для глаз из автозагрузки, чтобы не мешало. Да, на разделах HDD имеется неприлично большое кол-во фильмов так сказать "для взрослых", простба не удивляться - клиент нынче такой пошёл, а ведь уже в возрасте :).

thyrex 08-08-2012 01:27 1966578
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dctcx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','xmhrg');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','erfeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','xekgu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ggrmd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pvkqo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.

После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте новые логи

rzdpasha 08-08-2012 11:09 1966713
Сделано. Правда с два раза выполнить первый скрипт не вышло - вылетал BSOD с 19-ой ошибкой, по решению которой даны вроде как общие рекомендации. После проверки HDD на наличие ошибок + сканирования на поверхность скрипт всё-таки успешно завершился.

thyrex 08-08-2012 12:07 1966752
Что с проблемой?

rzdpasha 08-08-2012 19:21 1966972
Я думаю, решилась. По-крайней мере заветные "Одноклассники" с учетной записью клиента запустились без вымораживания денег через СМС. Немножко дурил Google Chrome, но это по-видимому было ещё давно. Решение освещено в интернете.


Время: 01:04.

Время: 01:04.
© OSzone.net 2001-