Нод постоянно находит и удаляет вирус QZ и ovrsrv, пробовал прогами удалить, отключал в службах фиксил, но они опят появляются!
Нод постоянно находит и удаляет вирус QZ и ovrsrv, пробовал прогами удалить, отключал в службах фиксил, но они опят появляются!
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dprot.sys',''); QuarantineFile('C:\WINDOWS\update.exe',''); BC_DeleteSvc('riode32'); QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys',''); BC_DeleteSvc('ovwscn'); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); BC_DeleteSvc('ovrscn'); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys'); DeleteFile('ovrscn.dll'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ..
новые логи
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); DeleteFile('C:\WINDOWS\update.exe'); BC_ImportDeletedList; BC_DeleteSvc('dprot'); BC_DeleteSvc('ovwscn'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
вот новые логи, еще профиксил
O4 - HKLM\..\Run: [C:\WINDOWS\update.exe] C:\WINDOWS\update.exe
но после выполнения скрипта и перезагрузки вирусы опять выплывают, и файлы qy.sys, qz.dll и qz.sys в папке system32 наместе
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи с п.10Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); BC_ImportDeletedList; BC_DeleteSvc('ovrscn'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Так этиж действия уже выполнялись, после перезагрузки заново возникают, присутствует еще кто то, кто создает эти файлы заново, ovrsrv и qz я заметил это только уже исполнители, а вот кто их создает?
ну вот все же выполнил и высылаю новые логи
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\fwdrv.sys',''); QuarantineFile('rrShellX.dll',''); QuarantineFile('C:\WINDOWS\system32\rrShellX.dll',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('C:\WINDOWS\system32\AsyncR.sys',''); QuarantineFile('C:\WINDOWS\system32\SCError.dll',''); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('fwdrv.sys'); BC_DeleteSvc('ovrscn'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21679 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
У Вас Kerio Personal Firewall не установлен случайно?
Update: В ваших новых логах из поста номер 8 уже нет ovrscn.sys, так что новые логи пока не делайте, нужно проверить карантин сначала.
Последний раз редактировалось kps; 18.04.2008 в 11:09. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Вобщем после выполнения действий после сообщения Bratez, добавив профиксив дополнительно еще одну строчку
O4 - HKLM\..\Run: [C:\WINDOWS\update.exe] C:\WINDOWS\update.exe
а после перезагрузки НОД удалил опять ovrscn.sys, я посмотрел и увидел опять файлы qy.sys, qz.dll и qz.sys, но ovrscn небыло, ща удалил выше упомянутые файлы вручную, перезагрузил и пока ничего нет! Всем спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\update.exe - Trojan.Win32.Buzus.dzx (DrWEB: Trojan.MulDrop.14715)
Уважаемый(ая) dimon8033, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.