Добрый день, помогите убить эту вредоносную программу. Антивирус не помогает, в реестре тоже удалить не могу. Из-за нее комп нереально глючит. Прикрепляю логи AVZ и HiJackThis
Добрый день, помогите убить эту вредоносную программу. Антивирус не помогает, в реестре тоже удалить не могу. Из-за нее комп нереально глючит. Прикрепляю логи AVZ и HiJackThis
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZPMStatus(true); SetAVZGuardStatus(True); QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); QuarantineFile('zxcstat.dll',''); QuarantineFile('zxcmgr32.dll',''); QuarantineFile('ifcmgr32.dll',''); QuarantineFile('confxxn.dll',''); QuarantineFile('confzxc.dll',''); QuarantineFile('e1.dll',''); QuarantineFile('C:\WINDOWS\system32\zxcconf.exe',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('C:\WINDOWS\system32\actcontroller.exe',''); QuarantineFile('C:\WINDOWS\dllksr32.exe',''); QuarantineFile('c:\program files\winamp\winampa.exe',''); QuarantineFile('c:\windows\system32\amupdsvc.exe',''); DeleteFile('C:\WINDOWS\dllksr32.exe'); DeleteFile('C:\WINDOWS\system32\actcontroller.exe'); DeleteFile('C:\WINDOWS\system32\idaw64.exe'); DeleteFile('C:\WINDOWS\system32\zxcconf.exe'); DeleteFile('e1.dll'); DeleteFile('confzxc.dll'); DeleteFile('confxxn.dll'); DeleteFile('ifcmgr32.dll'); DeleteFile('zxcmgr32.dll'); DeleteFile('zxcstat.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
Добавлено через 4 минуты
После перезагрузки Пофиксить в HiJackThis
И повторите логиКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,C:\WINDOWS\system32\idaw64.exe, O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\dllksr32.exe -s O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\dllksr32.exe O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - AppInit_DLLs: confxxn.dll e1.dll confzxc.dll zxcstat.dll O20 - Winlogon Notify: autoplus - C:\WINDOWS\ O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing) O20 - Winlogon Notify: zxcmgr - zxcmgr32.dll (file missing)
Последний раз редактировалось zerocorporated; 19.11.2007 в 14:16. Причина: Добавлено
выполните скрипт...
затем еще один...Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_Activate; RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\zxcconf.exe',''); QuarantineFile('C:\WINDOWS\system32\idaw64.exe',''); QuarantineFile('C:\WINDOWS\system32\actcontroller.exe',''); QuarantineFile('C:\WINDOWS\dllksr32.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('\SystemRoot\system32\drivers\tdicf.sys',''); QuarantineFile('Nh.sys',''); QuarantineFile('C:\WINDOWS\system32\amupdsvc.exe',''); QuarantineFile('zxcstat.dll',''); QuarantineFile('zxcmgr32.dll',''); QuarantineFile('ifcmgr32.dll',''); QuarantineFile('e1.dll',''); QuarantineFile('confzxc.dll',''); QuarantineFile('confxxn.dll',''); QuarantineFile('C:\WINDOWS\system32\wininet.exe',''); QuarantineFile('C:\WINDOWS\system32\wupdsvc3.exe',''); DeleteFile('C:\WINDOWS\system32\wininet.exe'); DeleteFile('C:\WINDOWS\system32\wupdsvc3.exe'); DeleteFile('confxxn.dll'); DeleteFile('confzxc.dll'); DeleteFile('e1.dll'); DeleteFile('zxcmgr32.dll'); DeleteFile('C:\WINDOWS\system32\amupdsvc.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\dllksr32.exe'); DeleteFile('C:\WINDOWS\system32\actcontroller.exe'); DeleteFile('C:\WINDOWS\system32\idaw64.exe'); DeleteFile('C:\WINDOWS\system32\zxcconf.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи...
вот логи из AVZ
Из-за вируса у меня перестали работать некоторые программы. Вот после выполненных действий я попробовал запустить Adobe Illustrator. Повис при загрузке...
Последний раз редактировалось ARmY; 19.11.2007 в 14:51.
выполните скрипт...
сделайте полный комплект логов ...Код:begin BC_DeleteSvc('msupdate'); BC_DeleteSvc('amupdsvc'); ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Неработающие программы вероятно придется переустанавливать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Проблема в том, что дистриба к ним уже нет
Вот логи, syscure нужен?
конечно ...
Наконец-то проверка закончилась, вот syscure
удалите временные интернет файлы ...
выполните скрипт...(я так понял мой скрипт из поста 3 вы не выполняли)
повторите только последний лог ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\wininet.exe'); DeleteFile('C:\WINDOWS\system32\wupdsvc3.exe'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Временные файлы удалил, скрипт выполнил, минут через 15 (как все проверится) получу лог и скину
наконец-то проверка закончилась, высылаю лог
в логах не вижу ничего зловредного ....
осталось разобраться с жтим....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: к ПК разрешен доступ анонимного пользователя
вот это убрать, остальное оставить
Спасибо огромное за помощь, как вас отблагодарить?
странный выбор .... пожалуйста ...
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 68
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ARmY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.