Стоит Dr.web
Проблемы с удаление что делать ??
Стоит Dr.web
Проблемы с удаление что делать ??
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll',''); QuarantineFile('C:\WINDOWS\system32\svchоst.exe',''); QuarantineFile('C:\DOCUME~1\Wirludo\LOCALS~1\Temp\2764.exe',''); DeleteFile('C:\DOCUME~1\Wirludo\LOCALS~1\Temp\2764.exe'); DeleteFile('C:\WINDOWS\system32\svchоst.exe'); DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll'); BC_ImportALL; BC_QrSvc('runtime'); BC_QrSvc('runtime2'); BC_QrSvc('NDnet1'); BC_QrSvc('ip6fw'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('NDnet1'); BC_DeleteSvc('ip6fw'); BC_DeleteFile('C:\WINDOWS\system32\ksys.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Сдела - отослал
Странно, почти ничего не удалилось.
Вы не забыли восстановление системы отключить? Отключите обязательно.
Выполните следующий скрипт:
После перезагрузки сделайте все три лога по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\svchоst.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll'); BC_ImportDeletedList; BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('NDnet1'); BC_DeleteSvc('ip6fw'); BC_DeleteFile('C:\WINDOWS\system32\ksys.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Было сделано с самого начала...
На рабочем столе в свойствах мой компьютера поставлена галачка запрета восстановления системы.
Выгружен и поставлен на ручной режим мониторинг Dr.web
Запущен эксплорер.
Сделаны логи.
Выполнен указанный скрипт.
Отосланы материалы по карантину.
Сделаны логи.
( есть вопрос интернет обязательно отключат - в правилах не сказано или не увидел, входить в безопасный режим или в обычном, при сканировании указывать все диски системы - по умолчанию указывается только диск С)
Интернет отключать, т.к. отключаем антивирус, нельзя же без защиты.есть вопрос интернет обязательно отключат - в правилах не сказано или не увидел, входить в безопасный режим или в обычном, при сканировании указывать все диски системы - по умолчанию указывается только диск С
Выполняем в обычном, если явно не сказано про безопасный.
Никакие диски указывать не надо, просто выполняем скрипты.
Теперь по теме. Опять все основные ваши зловреды живы.
Попробуем еще разок.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: (no name) - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - (no file) O2 - BHO: (no name) - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
После перезагрузки еще раз сделайте логи.Код:begin BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('NDnet1'); BC_DeleteSvc('ip6fw'); BC_DeleteSvc('PowerManager'); BC_DeleteFile('C:\WINDOWS\system32\ksys.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\system32\svchоst.exe'); BC_DeleteFile('C:\WINDOWS\temp\startdrv.exe'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
С этим проде разобрались - больше не появляются файлы...
Надеюсь там больше ничего нет ??
У меня такое чувство, что что-то ещё осталось.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу !Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\svchоst.exe',''); QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys',''); QuarantineFile('C:\Program Files\cFosSpeed\spd.exe ',''); QuarantineFile('C:\WINDOWS\system32\\Drivers\stremu.SYS',''); QuarantineFile('C:\WINDOWS\system32\LVPr2Mon.sys',''); QuarantineFile('C:\WINDOWS\Explorer.EXE',''); BC_ImportQuarantineList; BC_LogFile(GetAVZDirectory + 'boot_copy.log'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10750
Последний раз редактировалось drongo; 01.07.2007 в 23:13.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
каратин отправлен 070701_235334_virus_4688063ee3ca2.zip
Требуемый лог прилогается
Жду вердикта ..........
В карантине ничего вредоносного нет.
Выполните скрипт:
и сделайте лог п.10 правил для контроля.Код:begin SetAVZGuardStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system'); DeleteFile('C:\WINDOWS\svchost.bak'); DeleteFile('C:\Program Files\DrWeb\Infected.!!!\*.*'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
И еще один момент, посмотрите, что пишет AVZ про ваши хрумеры:
Так что прежде чем пользовать, закиньте их на всякий случай на www.virustotal.com, мало ли что.Код:C:\download\Xrumer\Xrumer\2.5\XPYMEP_.EXE - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) C:\Downloads\Xrumer3\xdemo\xdemo3.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) C:\Downloads\Xrumer3\xrumer\xdemo3.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
I am not young enough to know everything...
Вроде все норма ....
Огромное спасибо - вы занимаетесь отважным делом спасением.........
Сам бы не справился -так что удачи вам во всем.....
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Последний раз редактировалось Muzzle; 02.07.2007 в 15:45.
Ошибка ; в позоции 7/1
Скрипт не выплняется
выполните скрипт,поправил.
Отправил карантин - жду вердикт !!!
Вирустотал сказал что всё чисто,подождём ответ ЛК.(по всей видимости файл принадлежит акробат ридеру)
Кроме него ничего подозрительного больше нет.если симптомы пропали,то лечение можно считать законченным
Во супер огромное спасибо - теперь спокоен за инфу и в общем...
Если попадаются вирусы так попадаю по полной ))
Удачи вам и вашему проекту........
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\wirludo\\locals~1\\temp\\2764.exe - Virus.Win32.Grum.m (DrWEB: Trojan.Packed.147)
- c:\\windows\\svchost.exe - Trojan-Downloader.Win32.Agent.bwx (DrWEB: Trojan.DownLoader.25802)
Уважаемый(ая) Vointorf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.