|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Порно-информер IE7 Vista |
|
|
Порно-информер IE7 Vista
|
|
Новый участник Сообщения: 48 |
все по инструкции
|
|
|
Отправлено: 02:55, 05-04-2009 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать На время выполнения скрипта отключить защитное ПО (анивирус, файрволл). Включите брандмауэр Windows
Отключите автозапуск со сменных носителей Выполните скрипт в AVZ (запустив AVZ от имени администратора) Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData\ldglib.dll','');
QuarantineFile('C:\ProgramData\crtlib.dll','');
QuarantineFile('C:\ProgramData\mpnlib.dll','');
DeleteFile('C:\ProgramData\mpnlib.dll');
DeleteFile('C:\ProgramData\crtlib.dll');
DeleteFile('C:\ProgramData\ldglib.dll');
DelBHO('{A449340F-A80D-49BD-A931-45AC4DB33881}');
DelBHO('{66AA753B-1593-432D-997F-FF965F38D507}');
DelBHO('{3DD96B8E-968D-41B2-A41D-AD076B077548}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполните скрипт в AVZ Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Повторите логи |
|
------- Отправлено: 11:59, 05-04-2009 | #2 |
|
Новый участник Сообщения: 48
|
Профиль | Отправить PM | Цитировать отправил
|
|
Отправлено: 12:21, 05-04-2009 | #3 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать C:\ProgramData\mpnlib.dll - Trojan-Ransom.Win32.HexZone.aio (сработал мой KIS2009)
Больше ничего в карантин не попало Ждем повторные логи |
|
------- Отправлено: 12:34, 05-04-2009 | #4 |
|
Новый участник Сообщения: 48
|
Профиль | Отправить PM | Цитировать в IE стало все норм. теперь при повторном сканировании в AVZ стандарнтный 3 скрипт вываливается после минут 5 проверки в синий экран ошибка вроде 0х00.....7F
|
|
|
Отправлено: 15:06, 05-04-2009 | #5 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать roteiro, Если 3-ий скрипт не выполняется, сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis
Что с проблемой? |
|
------- Отправлено: 18:04, 06-04-2009 | #6 |
|
Новый участник Сообщения: 48
|
Профиль | Отправить PM | Цитировать Проблема решилась
|
|
Отправлено: 11:12, 07-04-2009 | #7 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать roteiro, CrackTcpip.sys - сами ставили?
C:\Windows\system32\Drivers\CrackTcpip.sys - Rootkit.Win32.Tiny.ap - http://www.virustotal.com/analisis/b...12795d892470b4 Вы с помощью AVPTool проверяли систему? (в правилах есть) Если не проверялись - рекомендую. У вас DrWeb, он этот зловред не знает, поэтому можете запаковать с паролем virus и отправить в в вирлаб DrWeb то же самое с C:\Windows\System32\drivers\royal.sys - http://www.virustotal.com/analisis/8...c8369100ab9f52 C:\Windows\System32\Drivers\stremu.SYS - http://www.virustotal.com/analisis/d...8a03bcb833208b - возможно фолс, требуется проверка в вирлабе Можете выполнить скрипт Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\stremu.SYS','');
QuarantineFile('C:\Program Files\ArtMoney\artmoney.sys','');
QuarantineFile('C:\Windows\system32\drivers\ScreamingBAudio.sys','');
QuarantineFile('C:\Windows\System32\drivers\royal.sys','');
QuarantineFile('C:\Windows\system32\Drivers\CrackTcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. artmoney.sys и ScreamingBAudio.sys можете сами проверить на virustatal.com Можете, после карантина, удалить скриптом или дождаться ответа вирлаба, обновить базы и проверить систему, возможно драйвер tcpip придется вернуть оригинальный (если сами заменяли). Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('CrackTcpip');
DeleteFile('C:\Windows\system32\Drivers\CrackTcpip.sys');
DeleteFile('C:\Windows\System32\drivers\royal.sys');
DeleteService('OemBiosDevice');
DeleteService('CrackTcpip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('OemBiosDevice');
BC_DeleteSvc('CrackTcpip');
BC_Activate;
RebootWindows(true);
end.
Выложите также результаты проверки архива безопасных, дополнительно см. здесь |
|
------- Отправлено: 12:18, 07-04-2009 | #8 |
|
Новый участник Сообщения: 48
|
Профиль | Отправить PM | Цитировать CrackTcpip.sys сам ставил
Результаты обработки Архив 090407_131218_virusinfo_files_ALEXSANDR_49db18f2a9 365.zip, загружен 07.04.2009 13:30:17, размер 23486698 байт Всего файлов: 22 (исполняемых 22), из них: зловреды или опасные объекты: 0 подозрительные: 0 занесены в базу безопасных AVZ: 1 В очереди на добавление в базу безопасных: высокий приоритет: 11 обычный приоритет: 10 |
|
Отправлено: 13:56, 07-04-2009 | #9 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать roteiro, сигнатура безопасных вероятно ещё не успела попасть в базу, судя по логам.
C:\Windows\system32\Drivers\stremu.sys C:\Windows\system32\drivers\ScreamingBAudio.sys C:\Program Files\ArtMoney\artmoney.sys Что ответил вирлаб по этим файлам? |
|
------- Отправлено: 15:23, 07-04-2009 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Новый порно-информер! | tarakan1983 | Лечение систем от вредоносных программ | 12 | 19-11-2009 17:41 | |
| порно-информер,помогите удалить | alexeiuri | Лечение систем от вредоносных программ | 1 | 01-11-2009 16:32 | |
| Порно информер. | vitalikroslakov | Лечение систем от вредоносных программ | 9 | 20-04-2009 18:11 | |
| Info - Порно-информер (информация по удалению) | Котяра | Защита компьютерных систем | 25 | 02-04-2009 22:05 | |
| Безопасность - Порно-информер В Opera | Mixa28 | Лечение систем от вредоносных программ | 0 | 28-02-2009 15:37 | |
|
|
Время: 03:56. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
