Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: NOD32 усиленный режим
Показать сообщение отдельно

Аватара для Farger

Старожил


Сообщения: 261
Благодарности: 58

Профиль | Отправить PM | Цитировать

Здравствуйте,

1. C:\Documents and Settings\FateMaster\Рабочий стол\Flash-Player.exe на virustotal проверили, где результат?

2. Файл C:\WINDOWS\system32\drivers\uhhmto.sysпроверьте на virustotal и дайте ссылку на результат.

3. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('services32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\uhhmto.sys','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\Windows\loader2.exe_ok');
 DeleteFile('services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-2-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\Windows\update.tray-2-0-Ink','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0-Ink');
DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

4. После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код: Выделить весь код
begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

5. Запустите еще раз полное сканирование MBAM, отметьте эти строки и нажмите «Удалить»:

Цитата:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.

Зараженные папки:
c:\documents and settings\fatemaster\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\fatemaster\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\winrar.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\winrarview.exe (Trojan.Agent) -> No action taken.
Повторите логи AVZ, RSIT и результат удаления MBAM

6. Сделайте еще OTL by oldtimer лог файл.

Отправлено: 11:34, 24-06-2011 | #14

Название темы: NOD32 усиленный режим