Восстановление работы ОС В
Третий
Академик
МосОбл
7.1K 6K 2
Отв.80 24 Мая 10, 10:51
SpankyHam, Надо. Но его нету!!!
Отв.81 24 Мая 10, 15:12
Третий, да. Так и предполагал.
777, тот же фантом спХХ.сис. Больше ничего подозрительного.
Фантом прикольный. А мне нет времени разобраться с ним.
Вот, что коллеги пишут. Можно забить.
Мужики, теперь жалобы на работу машин есть?
777, тот же фантом спХХ.сис. Больше ничего подозрительного.
Фантом прикольный. А мне нет времени разобраться с ним.
Вот, что коллеги пишут. Можно забить.
Мужики, теперь жалобы на работу машин есть?
777
Магистр
Центр Украины
257 22
Отв.82 24 Мая 10, 20:54
накаких, спасибо при встрече если случится будем благодарится. Еше раз спасибо, глючить перестал, все ок только касперский глючит но то фигня
Отв.83 24 Мая 10, 22:06
777, не за что, коллега.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.84 26 Мая 10, 13:48
SpankyHam,
Нажатие на ссылку УДАЛИТЬ, в соответствующем пункте составляет команды скрипта, которые формируются в конце отчета. Найдя зловред, сформируйте команду скрипта на его удаление.SpankyHam, 10 Марта 10, 03:32Что-то я не догоняю где это?Туп видать.Посмотри плиз,что это?
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.85 26 Мая 10, 13:51, через 3 мин
И что-то в отчёте жёлтого нету,а красноты полно.
Отв.86 26 Мая 10, 17:17
Извини, отсутствовал.
1. Делаешь чистку ч-з "Мастер Поиска..."
2. Выполняешь скрипт.
1. Делаешь чистку ч-з "Мастер Поиска..."
2. Выполняешь скрипт.
beginПосле перезагрузки сделай снова отчет и прилепи сюда.
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('e:\6e32bba30d0b817f6285c8e2948297\wgasetup.exe','');
QuarantineFile('C:\WINDOWS\system32\u6k81whix.exe','');
QuarantineFile('C:\WINDOWS\system32\tpkk6wwc.exe','');
QuarantineFile('C:\WINDOWS\system32\rs70tpkk6w.exe','');
QuarantineFile('C:\WINDOWS\system32\q6cc6oo6.exe','');
QuarantineFile('C:\WINDOWS\system32\pu90rstt76.exe','');
QuarantineFile('C:\WINDOWS\system32\opu86g81sd.exe','');
QuarantineFile('C:\WINDOWS\system32\hdyy6kk6.exe','');
QuarantineFile('C:\WINDOWS\system32\g3c0o1epg.exe','');
QuarantineFile('C:\WINDOWS\system32\fk875s6i81.exe','');
QuarantineFile('C:\WINDOWS\system32\ezf60hnn.exe','');
QuarantineFile('C:\WINDOWS\system32\bssneezq.exe','');
QuarantineFile('C:\WINDOWS\system32\eezqqlcc.exe','');
QuarantineFile('C:\WINDOWS\system32\70iiyo0.exe','');
QuarantineFile('C:\WINDOWS\system32\6aa6mm6.exe','');
QuarantineFile('C:\WINDOWS\system32\3c1st1j.exe','');
QuarantineFile('C:\WINDOWS\system32\1eaavmm.exe','');
QuarantineFile('C:\Documents and Settings\Алексей\ctfmon.exe');
QuarantineFile('C:\Documents and Settings\Алексей\explorer.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-3685931153-3012594261-111386371-1934\yv8g67.exe');
DeleteFile('C:\Documents and Settings\Алексей\ctfmon.exe');
BC_DeleteFile('C:\Documents and Settings\Алексей\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Алексей\explorer.exe');
BC_DeleteFile('C:\Documents and Settings\Алексей\explorer.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3685931153-3012594261-111386371-1934\yv8g67.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-3685931153-3012594261-111386371-1934\yv8g67.exe');
DeleteFile('C:\WINDOWS\system32\1eaavmm.exe');
BC_DeleteFile('C:\WINDOWS\system32\1eaavmm.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','ije1a');
DeleteFile('C:\WINDOWS\system32\3c1st1j.exe');
BC_DeleteFile('C:\WINDOWS\system32\3c1st1j.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','gxnyyop');
DeleteFile('C:\WINDOWS\system32\6aa6mm6.exe');
BC_DeleteFile('C:\WINDOWS\system32\6aa6mm6.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','ozqqlcc');
DeleteFile('C:\WINDOWS\system32\70iiyo0.exe');
BC_DeleteFile('C:\WINDOWS\system32\70iiyo0.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','wrindj');
DeleteFile('C:\WINDOWS\system32\eezqqlcc.exe');
BC_DeleteFile('C:\WINDOWS\system32\eezqqlcc.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','njzzr');
DeleteFile('C:\WINDOWS\system32\bssneezq.exe');
BC_DeleteFile('C:\WINDOWS\system32\bssneezq.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','ghstff');
DeleteFile('C:\WINDOWS\system32\ezf60hnn.exe');
BC_DeleteFile('C:\WINDOWS\system32\ezf60hnn.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','stj78');
DeleteFile('C:\WINDOWS\system32\fk875s6i81.exe');
BC_DeleteFile('C:\WINDOWS\system32\fk875s6i81.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','vlmchsd');
DeleteFile('C:\WINDOWS\system32\g3c0o1epg.exe');
BC_DeleteFile('C:\WINDOWS\system32\g3c0o1epg.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','xnndtev');
DeleteFile('C:\WINDOWS\system32\hdyy6kk6.exe');
BC_DeleteFile('C:\WINDOWS\system32\hdyy6kk6.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','cxydzuu');
DeleteFile('C:\WINDOWS\system32\opu86g81sd.exe');
BC_DeleteFile('C:\WINDOWS\system32\opu86g81sd.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','aqqm1c');
DeleteFile('C:\WINDOWS\system32\pu90rstt76.exe');
BC_DeleteFile('C:\WINDOWS\system32\pu90rstt76.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','bgc1s');
DeleteFile('C:\WINDOWS\system32\q6cc6oo6.exe');
BC_DeleteFile('C:\WINDOWS\system32\q6cc6oo6.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','gmcyyzp');
DeleteFile('C:\WINDOWS\system32\rs70tpkk6w.exe');
BC_DeleteFile('C:\WINDOWS\system32\rs70tpkk6w.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','xyppg');
DeleteFile('C:\WINDOWS\system32\tpkk6wwc.exe');
BC_DeleteFile('C:\WINDOWS\system32\tpkk6wwc.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','hdtk71');
DeleteFile('C:\WINDOWS\system32\u6k81whix.exe');
BC_DeleteFile('C:\WINDOWS\system32\u6k81whix.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','diojza');
DeleteFile('e:\6e32bba30d0b817f6285c8e2948297\wgasetup.exe');
BC_DeleteFile('e:\6e32bba30d0b817f6285c8e2948297\wgasetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.87 26 Мая 10, 18:35
SpankyHam, я пока тебя ждал,в рукопашную из папки темп поудалял экзешники.Запускаю скрипт-матерится что какои-то параметр не актуален в позиции 22:16.
Вот ещё прикрепил.
Вот ещё прикрепил.
Отв.88 26 Мая 10, 20:24
Почему службу восстановления системы не вырубил?!
ВЫРУБИТЬ! Не просто остановить, а отключить и остановить.
Запустить тот же скрипт.
Отчет снова сюда.
ВЫРУБИТЬ! Не просто остановить, а отключить и остановить.
Запустить тот же скрипт.
Отчет снова сюда.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.89 26 Мая 10, 21:00, через 36 мин
Показывает состояние- остановлена,тип запуска-отключена.Скрипт не выполняется.
Отв.90 26 Мая 10, 21:47, через 48 мин
waltor, давай запускать его частями.
Перезапусти АВЗ и подсунь, например, такое:
Если будет материться, попробуй в безопасном режиме.
Перезапусти АВЗ и подсунь, например, такое:
Если будет материться, попробуй в безопасном режиме.
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\u6k81whix.exe','');
QuarantineFile('C:\WINDOWS\system32\tpkk6wwc.exe','');
QuarantineFile('C:\WINDOWS\system32\rs70tpkk6w.exe','');
QuarantineFile('C:\WINDOWS\system32\q6cc6oo6.exe','');
QuarantineFile('C:\WINDOWS\system32\pu90rstt76.exe','');
QuarantineFile('C:\WINDOWS\system32\opu86g81sd.exe','');
QuarantineFile('C:\WINDOWS\system32\hdyy6kk6.exe','');
QuarantineFile('C:\WINDOWS\system32\g3c0o1epg.exe','');
QuarantineFile('C:\WINDOWS\system32\fk875s6i81.exe','');
QuarantineFile('C:\WINDOWS\system32\ezf60hnn.exe','');
QuarantineFile('C:\WINDOWS\system32\bssneezq.exe','');
QuarantineFile('C:\WINDOWS\system32\eezqqlcc.exe','');
QuarantineFile('C:\WINDOWS\system32\70iiyo0.exe','');
QuarantineFile('C:\WINDOWS\system32\6aa6mm6.exe','');
QuarantineFile('C:\WINDOWS\system32\3c1st1j.exe','');
QuarantineFile('C:\WINDOWS\system32\1eaavmm.exe','');
DeleteFile('C:\WINDOWS\system32\1eaavmm.exe');
BC_DeleteFile('C:\WINDOWS\system32\1eaavmm.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','ije1a');
DeleteFile('C:\WINDOWS\system32\3c1st1j.exe');
BC_DeleteFile('C:\WINDOWS\system32\3c1st1j.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','gxnyyop');
DeleteFile('C:\WINDOWS\system32\6aa6mm6.exe');
BC_DeleteFile('C:\WINDOWS\system32\6aa6mm6.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','ozqqlcc');
DeleteFile('C:\WINDOWS\system32\70iiyo0.exe');
BC_DeleteFile('C:\WINDOWS\system32\70iiyo0.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','wrindj');
DeleteFile('C:\WINDOWS\system32\eezqqlcc.exe');
BC_DeleteFile('C:\WINDOWS\system32\eezqqlcc.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','njzzr');
DeleteFile('C:\WINDOWS\system32\bssneezq.exe');
BC_DeleteFile('C:\WINDOWS\system32\bssneezq.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','ghstff');
DeleteFile('C:\WINDOWS\system32\ezf60hnn.exe');
BC_DeleteFile('C:\WINDOWS\system32\ezf60hnn.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','stj78');
DeleteFile('C:\WINDOWS\system32\fk875s6i81.exe');
BC_DeleteFile('C:\WINDOWS\system32\fk875s6i81.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','vlmchsd');
DeleteFile('C:\WINDOWS\system32\g3c0o1epg.exe');
BC_DeleteFile('C:\WINDOWS\system32\g3c0o1epg.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','xnndtev');
DeleteFile('C:\WINDOWS\system32\hdyy6kk6.exe');
BC_DeleteFile('C:\WINDOWS\system32\hdyy6kk6.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','cxydzuu');
DeleteFile('C:\WINDOWS\system32\opu86g81sd.exe');
BC_DeleteFile('C:\WINDOWS\system32\opu86g81sd.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','aqqm1c');
DeleteFile('C:\WINDOWS\system32\pu90rstt76.exe');
BC_DeleteFile('C:\WINDOWS\system32\pu90rstt76.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','bgc1s');
DeleteFile('C:\WINDOWS\system32\q6cc6oo6.exe');
BC_DeleteFile('C:\WINDOWS\system32\q6cc6oo6.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','gmcyyzp');
DeleteFile('C:\WINDOWS\system32\rs70tpkk6w.exe');
BC_DeleteFile('C:\WINDOWS\system32\rs70tpkk6w.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','xyppg');
DeleteFile('C:\WINDOWS\system32\tpkk6wwc.exe');
BC_DeleteFile('C:\WINDOWS\system32\tpkk6wwc.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','hdtk71');
DeleteFile('C:\WINDOWS\system32\u6k81whix.exe');
BC_DeleteFile('C:\WINDOWS\system32\u6k81whix.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1757981266-1220945662-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run','diojza');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.91 26 Мая 10, 21:52, через 5 мин
Прокатило!Скрипт выполнен без ошибок.Что дале?
Отв.92 26 Мая 10, 22:04, через 12 мин
Опять отчет.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.93 26 Мая 10, 22:16, через 13 мин
Вот.
Отв.94 26 Мая 10, 22:38, через 23 мин
Отлично. Теперь меня волнуют 2 вопроса:
1. Открой редактор реестра, напиши тут значение параметра Taskman в ветке
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2. Что за диск Е: у тебя?
1. Открой редактор реестра, напиши тут значение параметра Taskman в ветке
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2. Что за диск Е: у тебя?
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.95 26 Мая 10, 22:57, через 20 мин
C:|RECYCLER|S-1-5-21-3685931153-3012594261-111386371-1934|yv8g67.exe
вроде всё верно списал,только палки разделительные не те какие-то.
А диск Е только для мультимедии всякой,торрентов на раздаче.
вроде всё верно списал,только палки разделительные не те какие-то.
А диск Е только для мультимедии всякой,торрентов на раздаче.
Отв.96 26 Мая 10, 23:12, через 15 мин
1. Через редактор реестра удали параметр Таскман
2. Выполни скрипт:
Посмотри на диске Е: папку, видимо скрытую, с таким именем, как в скрипте. Если есть, грохни. Перед созданием отчета повырубай, плиз, торент и антивирус.
2. Выполни скрипт:
beginПосле перезагрузки снова отчет сюда.
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('e:\6e32bba30d0b817f6285c8e2948297\wgasetup.exe','');
DeleteFile('e:\6e32bba30d0b817f6285c8e2948297\wgasetup.exe');
BC_DeleteFile('e:\6e32bba30d0b817f6285c8e2948297\wgasetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Посмотри на диске Е: папку, видимо скрытую, с таким именем, как в скрипте. Если есть, грохни. Перед созданием отчета повырубай, плиз, торент и антивирус.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.97 27 Мая 10, 00:12, через 60 мин
Вроде всё сделал,но папку на Е есть похожая,но не могу убить,даже тоталом.
Отв.98 27 Мая 10, 09:12
waltor, судя по отчету, все чисто, поздравляю. Жалобы на работу машины есть?
Для удаления неудаляемого воспользуйся WindowsPE "FlowerBear" LiveCD.
Скачай SAS. Можешь установить фриэдишн или воспользоваться портэйблсканер. Поставь, запусти, обнови, отсканируй. Прочеши систему ним. Он понаходит, чего неактивного осталось.
Для удаления неудаляемого воспользуйся WindowsPE "FlowerBear" LiveCD.
Скачай SAS. Можешь установить фриэдишн или воспользоваться портэйблсканер. Поставь, запусти, обнови, отсканируй. Прочеши систему ним. Он понаходит, чего неактивного осталось.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.99 27 Мая 10, 10:58
SAS нашёл 1024 зловреда.Система вроде работает нормально,спасибо!
Сейчас буду разбираться с WindowsPE "FlowerBear" LiveCD.
Вечером отпишусь по конечному результату.
Сейчас буду разбираться с WindowsPE "FlowerBear" LiveCD.
Вечером отпишусь по конечному результату.
