Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 58.

Лечение вирусов (заявка № 18937)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35

    Thumbs up Лечение вирусов

    Стоял 3-й NOD. Удалил, поставил McAfee VS Ent 8.5 - ничего не нашел. Запустил AVZ - получил ребут. Удалил McAfee, сделал проверку.
    Явно что-то еще осталось.
    Логи прикрепил. Прошу помочь.
    Спасибо.
    Последний раз редактировалось Ven; 02.03.2008 в 18:25.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    McAfee - осталась
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Богато!
    Пока вот так, дальше посмотрим -
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Bhn16');
     SetServiceStart('Bhn16', 4);
     QuarantineFile('C:\WINDOWS\system32:svchosm.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
     QuarantineFile('C:\WINDOWS\system32\mms32pnqpn.dll','');
     QuarantineFile('C:\WINDOWS\system32:svchosm.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn16.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe','');
     DeleteFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Bhn16.sys');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32:svchosm.exe');
     DeleteFile('C:\WINDOWS\system32\mms32pnqpn.dll');
     DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\system32:svchosm.exe:$DATA');
    BC_ImportDeletedList;
    BC_DeleteSvc('Bhn16');
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18937).
    Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    ОК, я поищу утилиту для полного удаления, хотя странно вообще
    Это единственная проблема, которая видна в логах?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Ven Посмотреть сообщение
    Это единственная проблема, которая видна в логах?
    Если бы!
    I am not young enough to know everything...

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     	O21 - SSODL: msaa32.dll - {687D7EB1-5A8E-3740-01C8-19F50001492F} - (no file)
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    O20 - AppInit_DLLs: C:\WINDOWS\system32\mms32pnqpn.dll
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Два врача - это как-то непривычно Подчиняюсь сразу двум
    Скрипт выполнил.
    Хиджаком поправил.
    Логи прикрепил.
    Последний раз редактировалось Ven; 02.03.2008 в 18:25.

  9. #8
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Карантит прикрепил.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все на месте. У вас скрипт выполнился или нет?
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Да...комп ушел в ребут. Может логи не заменяются и надо удалять старые?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    А собщения об успешном выполнении значит не было?

    Давайте так, чтобы долго не мучиться:
    1. Скачайте эту программу http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
    2. File - Force Delete вот этим двум файлам:
    C:\WINDOWS\System32\Drivers\Bhn16.sys
    C:\WINDOWS\System32\Drivers\Amw66.sys
    3. Перезагрузитесь и выполните скрипт из поста #2.
    4. Сделайте новые логи.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Выполнил еще раз скрипт...комп сам перезагружается, сл-но я не знаю выполнен скрипт или комп уходит в ребут по причине магнитных бурь в моей голове

    После ребута переименовал папку ЛОГ, сделал новый лог...папка ЛОГ создалась сама, конечно же.
    Последний раз редактировалось Ven; 02.03.2008 в 18:25.

  14. #13
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Да, сообщения об успешном выполнении скрипта я не видел.
    Файлики убил. Иду на ребут.

  15. #14
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Теперь ребут по окончанию выполнения скрипта был корректным - с завершением работы. Вот новые логи.
    Последний раз редактировалось Ven; 02.03.2008 в 18:25.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Еще вот такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Ubg51');
     SetServiceStart('Ubg51', 4);
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\qtprot.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg51.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ubg51.sys');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Ubg51');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин пришлите весь.
    И еще раз лог syscheck.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Вот лог.
    Последний раз редактировалось Ven; 02.03.2008 в 18:25.

  18. #17
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Карантин прислал.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Упрямые они у вас!
    Удалите IceSword'ом (force delete) эти:
    C:\WINDOWS\System32\Drivers\Ubg51.sys
    C:\WINDOWS\system32\WLCtrl32.dll

    а затем выполните скрипт:
    Код:
    begin
     BC_DeleteSvc('qtprot');
     BC_DeleteSvc('hdport');
     BC_DeleteSvc('Amw66');
     BC_DeleteSvc('Ubg51');
     BC_DeleteFile('C:\WINDOWS\system32\hdport.sys');
     BC_DeleteFile('C:\WINDOWS\system32\qtprot.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте логи syscheck и HijackThis.
    I am not young enough to know everything...

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Backdoor.Win32.Delf.dfs C:\WINDOWS\system32\qtprot.sys
    Trojan-Downloader.Win32.Agent.jjt C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
    Trojan-Downloader.Win32.Diehard.dr C:\WINDOWS\system32\drivers\ip6fw.sys
    Trojan-Dropper.Win32.Small.bfr C:\WINDOWS\Temp\winlogon.exe
    mssrv32.exe и wctrl32.dll - свежие

  21. #20
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    111
    Вес репутации
    35
    Логи.
    Последний раз редактировалось Ven; 02.03.2008 в 18:25.

  • Уважаемый(ая) Ven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Лечение от вирусов
      От svr007 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.03.2012, 18:22
    2. Лечение вирусов
      От morozka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.03.2012, 21:12
    3. лечение вирусов
      От Demonaz в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.05.2010, 01:01
    4. Лечение от вирусов
      От timoleon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.10.2009, 12:33
    5. Лечение вирусов
      От Alcur в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 05:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00297 seconds with 21 queries