Лечил WLCtrl32 как написано. Плз гляньте на рез-т

[iog-bach]

Лечил WLCtrl32 как написано. Плз гляньте на рез-т
Логи приложил.
Опасаюсь, что не долечил

Было: Xej73.sys и WLCtrl32.DLL
Лечил, как написано в http://virusinfo.info/showthread.php...ighlight=txb60 (поменял txb60 на xej73)

Не понятно, что убивает команда BC_DeleteSvc('Chk04') .. возможно у меня chk04 называется по-другому..

На следующий день после лечения при получении первого лога (лечение/карантин) был Access Violation. Оторвал провод от сетевой карты, запустил снова - все прошло Ок.

Спасибо.

[Rene-gad]

Лечил WLCtrl32 как написано.

Вы Правила читали?

У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт!

Пофиксите

Код:

O2 - BHO: cj helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\IE Extensions\cj.v2.dll
O16 - DPF: {2AF0C7B1-9389-11D8-869A-0020ED529CEE} (HTTPFileCtl Class) - http://servw0:17300/RSPortal/StartHTML/HTTPFile.cab
O22 - SharedTaskScheduler: App reset - {A25849C4-93F3-429D-FF34-260A2068897C} - (no file)

Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\vpnapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\FE250.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe','');
 QuarantineFile('C:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\winupdat.exe','');
 QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
 DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\ieatgpc.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После ребута закачайте карантин и повторите логи.

[iog-bach]

Сорри.. читал невнимательно

[kps]

После того, как загрузите карантин, выполните еще такой скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
QuarantineFile('C:\WINDOWS\Explorer.EXE','');
BC_ImportQuarantineList;
BC_QrSvc('oqtxde');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20463 ).

[iog-bach]

Отправил карантин после 1-го скрипта и повторил логи, которые аттачу.
Кажется sys_cure не смог приаттачиться..

Сейчас буду делать 2-й скрипт .. после него отправлю еще карантин и логи.

Спасибо.

[iog-bach]

1. Отправил карантин после 2-го скрипта. Архив делал через AVZ..не понятно где вставлять пароль virus
2. Логи после 2-го скрипта.

[PavelA]

AVZ сам вставляет пароль.

[Rene-gad]

Пофиксите

Код:

 O20 - AppInit_DLLs:

Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 StopService('oqtxde');
 DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
 DeleteService('oqtxde');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

После ребута повторите логи.

[iog-bach]

Закачал карантин. Запустил скрипты для логов.

[Rene-gad]

Закачал карантин.

Сорри, про карантин я был не прав А логи ждем-с...

[iog-bach]

Вот и логи
сорри, что так долго.. пока AVZ папку с дистр просмотрит..
1. Был Access Violation на runscan
2. После того, как закончил делать логи включил Symantec и только потом броузер.
Получил сообщение:

Осмотр: Auto-Protect
Событие: Обнаружена угроза!
Угроза: Trojan Horse
Файл: C:\WINDOWS\system32\Drivers\vdeznza5.sys
Путь: Изолировать
Компьютер: C-OBER0AU
Пользователь:
Действие: Изолировать удалось: Доступ закрыт
Дата обнаружения: 26 марта 2008 г. 22:02:34

[V_Bond]

C:\WINDOWS\Explorer.EXE,C:\WINDOWS\Downloaded Program Files\ieatgpc.dll - чистые ...

попробуйте поискать через авз - сервис - поиск файлов на диске .....
1 C:\WINDOWS\system32\drivers\grande48.sys,
2C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe,
3 С:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll ,
4 C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll
если найдутся ... пришлите согласно приложения 3 правил ...

[akok]

vdeznza5.sys - драйвер AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('FE250', 4);
 BC_DeleteSvc('FE250');
 SetServiceStart('oqtxde', 4);
 SetServiceStart('grande48', 4);
 StopService('grande48');
 StopService('oqtxde');
 QuarantineFile('C:\WINDOWS\system32\drivers\winupdat.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe','');
 QuarantineFile('C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
 QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\FE250.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\FE250.sys');
 DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
 DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
 DeleteFile('C:\WINDOWS\Installer\{b92bd029-d955-4ca8-8e0c-26073eaf1fa8}\zip.dll');
 DeleteFile('C:\WINDOWS\Installer\{e4b496d3-0caf-4400-947d-a6f9cda12054}\RamService.dll');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\explores.exe');
 DeleteService('grande48');
 DeleteService('oqtxde');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20463

Повторите логи

[iog-bach]

Карантин отправил. Запустил скрипт для логов. (думаю через час будут готовы)..

а если этот FE250 будет инфицирован, нужно будет новый переустановить? (он от LG mp3 плейра USBшный драйвер)?

Добавлено через 16 минут

Зашел в безопасном режиме и получил более правильный карантин. Загружаю файл virus4.zip

[iog-bach]

Вот и логи.

наиболее содержательный карантин послан по праилу 3 в файле virus4.zip


Спасибо

[wise-wistful]

winupdat.exe - поищите при помощи АВЗ-сервис--поиск файлов на диске и пришлите согласно приложения 2 правил

[iog-bach]

он должен быть в карантине virus4.zip как bcqr00001.dat И bcqr00002.dat, но я поищу еще

Добавлено через 4 минуты

поиск по диску С (за искл папки где дистриб виндовс) результатов не дал. Просмотрено 30266, найдено 0
Искал winu*

[V_Bond]

повторите логи ...

[iog-bach]

Сорри.. раньше прийти не мог.
Вот логи.

[V_Bond]

выполните скрипт ...

Код:

begin
 DeleteFile('C:\WINDOWS\system32\drivers\winupdat.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи начиная с пункта 10 правил ...