Все темы прочитал касающиеся этого вируса, но ничего не помогло. Прощу о помощи.
Все темы прочитал касающиеся этого вируса, но ничего не помогло. Прощу о помощи.
Последний раз редактировалось Keo; 13.07.2007 в 09:23.
1.Выполнить скрипт:
После перезагрузки загрузить карантин по ссылке вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\klogini.dll',''); QuarantineFile('c:\windows\system32\fltr.a3d',''); QuarantineFile('c:\windows\system32\redir2.a3d',''); QuarantineFile('c:\windows\system32\p3.ini',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.dll',''); BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
2.Антивирус Симантек/Нортон у Вас живой? Если нет, то нужно ставить что-нибудь для защиты.
3.Файл карантина удалите из темы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В удаленном карантине:
ovrscn.dll - Backdoor.Win32.Haxdoor.kz
qz.dll - Backdoor.Win32.Haxdoor.kz
1. Скрипт выполнил.
2. Нортон живой, просто удалял на время AVZ
3. Что это за файл и как его удалить?
Карантин загрузил. С нетерпением жду ) Спасибо.
Вы сами удаляли какие-нибудь файлы с карантина?
Нет не удалял.
Добавлено через 44 минуты
Отправил карантин еще раз вместе с логом.
Последний раз редактировалось Keo; 13.07.2007 в 06:57. Причина: Добавлено сообщение
Если интересно,то вот описание вашего зверька
http://www.viruslist.com/ru/viruses/...?virusid=76809
cz.dll,drct16.dll,hz.sys,vdmt16.sys,winlow.sys,wz. sys - поищите эти файлы при помощи AVZ-- сервис --поиск фалов на диске,если найдутся то удалите их.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
2.Потом второй скриптКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\klogini.dll'); DeleteFile('c:\windows\system32\fltr.a3d'); DeleteFile('c:\windows\system32\redir2.a3d'); DeleteFile('c:\windows\system32\p3.ini'); DeleteFile('C:\WINDOWS\system32\qz.dll'); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); DeleteFile('ovrscn.dll'); BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); BC_DeleteFile('ovrscn.dll'); BC_DeleteFile('c:\windows\system32\klogini.dll'); BC_DeleteFile('c:\windows\system32\fltr.a3d'); BC_DeleteFile('c:\windows\system32\redir2.a3d'); BC_DeleteFile('c:\windows\system32\p3.ini'); BC_DeleteFile('C:\WINDOWS\system32\qz.dll'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_del.log'); BC_Activate; RebootWindows(true); end.
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\windows\system32\actmovie.dll',''); QuarantineFile('C:\WINDOWS\userinit.exe',''); DeleteFile('C:\WINDOWS\userinit.exe'); DeleteFile('c:\windows\system32\actmovie.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11024
3.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
4.после выполните снова логи и прикрепите файлик boot_del.log из директории AVZ.Код:O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
Последний раз редактировалось Muzzle; 13.07.2007 в 07:51.
А удалять файлы и выполнять скрипты в каком режиме надо делать? В безопасном или обычном? И после первого скрипта машина перезагрузится это правильно?
Скрипты выполнять в обычном режиме,после обоих скриптов машина перезагрузиться.
Отправил новый карантин и прикрепил новый лог от hijacka. Вроде все вычистилось.... не знаю правда надолго?
(( сеть 30 компов пришел 2 недели назад, никакой централизации.... из машин и ОС зоопарк... ужасть... не знаю за что хвататся....
делаю образ SP2 с новыми обновлениями, думаю ставить на все чистую установку.... может поможет...
c:\windows\system32\actmovie.dll - инфицирован Trojan-Spy.Win32.BZub.bm
C:\WINDOWS\userinit.exe - инфицирован Backdoor.Win32.Haxdoor.kz
(по Касперскому)
они должны были удалиться после скрипта.Вы искали файлы которые я просил?
И где новые логи?(нужны все три)
а boot_del.log тоже потеряли?
Последний раз редактировалось Muzzle; 13.07.2007 в 12:20. Причина: опечатка
Файлы искал, таких файлов нет ни одного. (Возможно из за Симантека)
Логи прикрепил. правильно? Все?
Еще раз спасибо...
Главное мы сделали логи чистые,осталось только почистить мусор
пофиксите
Checkcfg - сами устанавливали?Код:O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - file://\IsaVPHOMECLT-INSTWEBINSTwebinst.cab O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
Checkcfg сами.
остальное почищу...
Огромное спасибо!
Только я так и непонял, какой скрипт мне помог? или их все 4 надо запускать по очереди?
Помогли все скрипты но для каждой проблемы они индивидуальны!
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 40
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\actmovie.dll - Trojan-Spy.Win32.BZub.bm (DrWEB: Trojan.PWS.Tanspy)
- c:\\windows\\system32\\ovrscn.dll - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- c:\\windows\\system32\\qz.dll - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- c:\\windows\\userinit.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: Trojan.Packed.166)
Уважаемый(ая) Keo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.