После перезагрузки ровно спустя 10 мин выскакивает ошибка services and controller app, а ещё через минуту пишет, что система рестартнется через минуту.
После перезагрузки ровно спустя 10 мин выскакивает ошибка services and controller app, а ещё через минуту пишет, что система рестартнется через минуту.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; QuarantineFile('C:\WINDOWS\system32\sisbduse.dll',''); QuarantineFile('C:\WINDOWS\system32\pubnfex.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\cvintdrv.SYS',''); QuarantineFile('C:\WINDOWS\system32\vbscsysi.dll',''); QuarantineFile('C:\WINDOWS\system32\statex.dll',''); QuarantineFile('C:\WINDOWS\System32\sisbduse.dll',''); QuarantineFile('C:\WINDOWS\System32\onksd.dll',''); QuarantineFile('C:\WINDOWS\System32\odbcgpkc.dll',''); QuarantineFile('C:\WINDOWS\system32\ksdmgr32.dll',''); QuarantineFile('C:\WINDOWS\System32\e1.dll',''); QuarantineFile('C:\WINDOWS\system32\asfewuau.dll',''); QuarantineFile('c:\windows\mmcc.exe',''); DeleteFile('C:\WINDOWS\system32\asfewuau.dll'); DeleteFile('C:\WINDOWS\System32\e1.dll'); DeleteFile('C:\WINDOWS\system32\ksdmgr32.dll'); DeleteFile('C:\WINDOWS\System32\odbcgpkc.dll'); DeleteFile('C:\WINDOWS\System32\onksd.dll'); DeleteFile('C:\WINDOWS\System32\sisbduse.dll'); DeleteFile('C:\WINDOWS\system32\statex.dll'); DeleteFile('C:\WINDOWS\system32\vbscsysi.dll'); DeleteFile('C:\WINDOWS\system32\pubnfex.exe'); DeleteFile('C:\WINDOWS\system32\sisbduse.dll'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )
Код:O4 - HKLM\..\Run: [debgdiag] C:\WINDOWS\system32\pubnfex.exe O9 - Extra button: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing) O9 - Extra 'Tools' menuitem: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing) O9 - Extra button: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing) O9 - Extra 'Tools' menuitem: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing) O20 - AppInit_DLLs: odbcgpkc.dll e1.dll sisbduse.dll onksd.dll statex.dll O20 - Winlogon Notify: asfewuau - C:\WINDOWS\system32\asfewuau.dll O20 - Winlogon Notify: ksdmgr - C:\WINDOWS\SYSTEM32\ksdmgr32.dll O20 - Winlogon Notify: vbscsysi - C:\WINDOWS\system32\vbscsysi.dll
Всё сделал так как описано! И вроде не выскакивает такая ошибка, антивирусник работает нормально!
Огромное спасибо за помощь, rubin!
Email-Worm.Win32.Warezov.ta
Email-Worm.Win32.Warezov.tq
Email-Worm.Win32.Warezov.pk
Email-Worm.Win32.Warezov.sz
Забыл сказать - надо было отключить восстановление системы....
Отключите его сейчас и повторите логи
Добавлено через 16 минут
C:\WINDOWS\system32\vbscsysi.dll - Virus.Win32.Warezov.CRX (Ikarus)
c:\windows\mmcc.exe - DroppedWin32.Worm.Stration.EM (Ikarus)
Оба свеженькие
Добавлено через 1 минуту
Ждем повторных логов с отключенным восстановлением системы
Последний раз редактировалось rubin; 11.11.2007 в 22:57. Причина: Добавлено
Повторить логи присланные вами ? или полностью всё сначала сделать ?
Полностью логи, как Вы делали в 1 посте
Странно, галкочка стояла на выключение востановления системы, но я сделаю всё с начала.
Вот что получилось ....
выполните скрипт...
пришлите карантин согласно приложения 3 правил ...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('c:\windows\mmcc.exe',''); QuarantineFile('C:\WINDOWS\system32\netuencd.exe',''); QuarantineFile('C:\WINDOWS\system32\perfex.exe',''); QuarantineFile('C:\WINDOWS\system32\vbscsysi.exe',''); DeleteFile('c:\windows\mmcc.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнил и выслал карантин.
Email-Worm.Win32.Warezov.ub c:\windows\mmcc.exe
Остальное в карантин не попало...
в карантине ....
c:\windows\mmcc.exe - Email-Worm.Win32.Warezov.ub
віполните скрипт ...
повторите логиКод:begin DeleteFile('C:\WINDOWS\system32\vbscsysi.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Вот новенькие логи ....
perfex.exe - пришлите по правилам ...
вроде прислал
нет ... в карантине пусто ... попробуйте с отключенным антивирусом ...
антивирус отрублен
открываю AVZ - "Файл" - >"Просмотр карантина"
так есть след строки :
\??\c:\windows\mmcc.exe - BootCleaner quarantine bcqr00001.dat
\??\c:\windows\mmcc.exe - BootCleaner quarantine bcqr00002.dat
\??\C:\WINDOWS\system32\netuencd.exe - BootCleaner quarantine bcqr00003.dat
\??\C:\WINDOWS\system32\netuencd.exe - BootCleaner quarantine bcqr00004.dat
\??\C:\WINDOWS\system32\perfex.exe - BootCleaner quarantine bcqr00004.dat
\??\C:\WINDOWS\system32\perfex.exe - BootCleaner quarantine bcqr00006.dat
\??\C:\WINDOWS\system32\vbscsysi.exe - BootCleaner quarantine bcqr00007.dat
\??\C:\WINDOWS\system32\vbscsysi.exe - BootCleaner quarantine bcqr00008.dat
c:\windows\mmcc.exe Скопирован в МП avz00001.dat
Собственно что я вижу в карантине и присылаю вам файлы perfex
собственно .... я вижу что на диске файл присутствует ... а в архиве его нет ...
можно винить только антивирус ..
в архиве должны быть файлы bcqr00005.ini, bcqr00006.ini ?
желательно ...
Уважаемый(ая) McClain, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.