При загрузке антивирус обнаруживает 2 трояна - Win32Agent-MEB в папке ...system 32\drivers\ip6fw.sys и Win32:Small-EP в папке
...system 32\runtime.sys. Нажимаешь удалить или в карантин - все
без толку.После перезагрузки они появляются снова.
При загрузке антивирус обнаруживает 2 трояна - Win32Agent-MEB в папке ...system 32\drivers\ip6fw.sys и Win32:Small-EP в папке
...system 32\runtime.sys. Нажимаешь удалить или в карантин - все
без толку.После перезагрузки они появляются снова.
http://virusinfo.info/showthread.php?t=1235
Без логов мы как без рук
Просто прикрепите к сообщению
При загрузке вылезают 2 трояна, жму удалить или в карантин ,
при перезагрузке все повторяется
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); BC_ImportQuarantineList; BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_QrFile('C:\WINDOWS\system32\ufdsvc.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\system32\ufdsvc.exe'); BC_QrSvc('runtime2'); BC_QrSvc('UFDSVC'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('UFDSVC'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: (no name) - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - (no file) O2 - BHO: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file) O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file) O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
Kerish Doctor надо деинсталлировать. Он полон Adware.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
rubin спасибо, исчезли, HijackThis не фикситил не понял что там из строки вставлять
kerish Doctor выбросил.
http://virusinfo.info/showthread.php?t=4491
Здесь описано как фиксить
Добавлено через 1 минуту
Плюс сделайте повторные логи для проверки
Последний раз редактировалось rubin; 14.11.2007 в 15:30. Причина: Добавлено
Опять куча дерьма в логах. Откуда налавливаете? Два антивируса: Аваст и Бидефендер и не помогают. Надо одного оставлять.
spyprodetector - деинсталлировать.
Сейчас будем писать скрипт.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
за последние дни ничего не устанавливалось и не запускалось на машине, кроме IE и проводника работал только с вами.
Восстановление системы отключить срочно!!!
Профиксить:
Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - AppInit_DLLs: sockspy.dll,wbsys.dll
Выполнить скрипт:
После перезагрузки прислать карантин и сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('wbsys.dll',''); QuarantineFile('sockspy.dll',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('wbsys.dll'); DeleteFile('sockspy.dll'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
От Симантека на машине что-нибудь установлено? Если нет, то деинсталлировать LiveUpdate, а еще лучше пройтись фирменной утилитой от Симантека.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Сделал все как велено, от симтека вроде ничего не ставилось и антивирус только аваст устанавливался. Карантин большой - 5Мв не дождаться когда загрузится (запросный канал GPRS).Может попозже скину?
Извиняюсь LiveUpdate v3.3 был - удалил.
Логи посмотрю, а Bit Defender надо тоже деинсталлировать.
Добавлено через 6 минут
После того, как загрузишь карантин, давай еще вот это проверим. Выполнить скрипт:
Загрузить, если попадет в карантин.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\drivers\oreans32.sys'); BC_Activate; RebootWindows(true); end.
А что такое здоровое попало в карантин?
Последний раз редактировалось PavelA; 15.11.2007 в 16:03. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
файл там большой с расширением DTA, правда есть еще 3 с таким же расширением
но маленькие и еще конфигурационные (я имею ввиду папку созданную сегодняшним числом в папке Quarantine). Сколько там вообще файлов должно быть? Bit Defender выкинул
Там tcpip.sys здоровый. Его можно отдельно загрузить. Мне почему-то кажется, что он чистый, а вот остальные как раз интересные.
Логи начальные посмотрю, может еще чего можно на потом оставить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Ivanovich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.