Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Ростелеком. (http://forum.oszone.net/showthread.php?t=212979)

Adrik_26rus 10-08-2011 13:27 1729134
Ростелеком.
 
Доброго всего времени суток. Прошу помощи в лечении этого злобного червя))

1. Скачал АВЗ. Выплнил скрипт:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\uldgxoj.dll','');
QuarantineFile('C:\Windows\system32\system','');
QuarantineFile('C:\Windows\system32\2CCE.tmp','');
QuarantineFile('C:\Users\MODERATOR!!!\AppData\Roaming\svchost.exe','');
DeleteFile('C:\Windows\system32\uldgxoj.dll');
DeleteFile('C:\Windows\system32\2CCE.tmp');
DeleteFile('C:\Users\MODERATOR!!!\AppData\Roaming\svchost.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Далее комп перезагрузился. Выполнил второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

после чего полученный архив отправил через такую форму "http://www.oszone.net/virusnet/"
Не ругайте если что не правильно сделал. И очень надеюсь на вашу помощь!

Techno88 10-08-2011 13:54 1729146
Здравствуйте!!! Скрипт сами писали? Сделайте логи по правилам http://forum.oszone.net/thread-98169.html

Adrik_26rus 10-08-2011 15:01 1729181
Вложений: 2
  • info.txt (14.90 KB, скачиваний: 13)
  • log.txt (40.00 KB, скачиваний: 12)
Спасибо!
Все сделал.+

alex_sev 10-08-2011 15:30 1729197
Цитата:
Цитата Adrik_26rus
Скачал АВЗ. Выплнил скрипт »
Никогда не выполняйте скрипты для чужих систем, будет только хуже.
Сейчас погляжу Ваши логи

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Пользователь\application data\netprotocol.exe');
 QuarantineFile('D:\PdtGuide.exe','');
 QuarantineFile('C:\WINDOWS\system32\windebug32.exe.vir','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\netprotdrvss.exe','');
 QuarantineFile('C:\WINDOWS\system32\scjzlqd.dll','');
 QuarantineFile('C:\WINDOWS\system32\B.tmp','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\user_63.exe','');
 QuarantineFile('c:\documents and settings\Пользователь\application data\netprotocol.exe','');
 DeleteFile('C:\WINDOWS\system32\scjzlqd.dll');
 DeleteFile('C:\WINDOWS\system32\B.tmp');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\user_63.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\netprotdrvss.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Пользователь\Application Data\netprotocol.exe
Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Adrik_26rus 10-08-2011 16:03 1729213
Спасибо. Завтра с утра попробую. Ноутбук уже далеко. Чем я вообще Вас могу отблагодарить?

alex_sev 10-08-2011 16:10 1729218
Отблагодарить можно снижением числа необдуманных действий, вроде выполнения чужих скриптов, запуска незнакомых программ... ;)

А если серьезно, то это у нас просто хобби...


Время: 18:05.

Время: 18:05.
© OSzone.net 2001-