DrWeb находит указанный вирус. Удаляет файл deflib.sys, а тот оживает. Видел тут уже связанные темы, но с учетом рекомендаций форума не использовать чужие скрипты для лечения, хочу получить свой индивидуальный.
DrWeb находит указанный вирус. Удаляет файл deflib.sys, а тот оживает. Видел тут уже связанные темы, но с учетом рекомендаций форума не использовать чужие скрипты для лечения, хочу получить свой индивидуальный.
Отключите Антивирус и Интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\V68\Local Settings\Temp\winlogon.exe',''); QuarantineFile('c:\docume~1\v68\locals~1\temp\winlogon.exe',''); QuarantineFile('E:\age06_3.exe',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\SysSFGE.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\basegkgc32.dll',''); QuarantineFile('c:\windows\msauc.exe',''); DeleteFile('C:\DOCUME~1\V68\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\SysSFGE.exe'); DeleteFile('C:\Documents and Settings\V68\Local Settings\Temp\winlogon.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22107
Затем такой скрипт в AVZ:
Очистите временные папки и кеш браузера.Повторите логи.Код:procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Добавлено через 3 часа 15 минут
age06_3.exe_, autorun.inf, dpil100.dll
Вредоносный код в файлах не обнаружен.
basegkgc32.dll - Trojan.Win32.Pakes.csd
load[1].exe_, winlogon.exe1, winlogon.exe_ - Trojan.Win32.Pakes.ctd
msauc.exe_ - Trojan.Win32.Agent.iii
Последний раз редактировалось Гриша; 26.04.2008 в 20:31. Причина: Добавлено
Первый скрип выполнил.
Карантин отправил. (если то, что нужно).
Скрипт 2 запустил.
Временные папки почистил.
Логи после повторных запусков AVZ и HiJackThis прикрепляю.
Вижу, что еще что-то пишется о AdvWare.Win32.NewWeb
PS Восстановление системы теперь уже можно включить?
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите лог virusinfo_syscheck.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\msauc.exe'); DeleteFile('c:\windows\msauc.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скрипт выполнил.
Прицепляю запрошенный лог после запуска AVZ.
Во время выполнения присутствовало опять такое сообщеньице:
C:\Program Files\DivX\DivX Converter\dpil100.dll >>> подозрение на AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)
Самим конвертером я не пользуюсь, хотя ради любопытства один раз за все-таки на своей машине запустил. Однако, вряд ли этот единственный запуск является причиной того, что при наведении на avi-файлы курсора в окне IE версии 6.0.2900.2180.xp_sp2, происходит "вылет" из IE. Подобный "вылет" происходит на всех машинах, куда я поставил DivX Codec 6.8.2 и конвертер не запускал. Однако, если курсор наводится на avi-файл из под запущенного DivX Player, то всё работает, как часы. Там другой механизм работает...
Правда, с DivX низшей версии происходило тоже...
В чем тут неполадка, с IE+DivX или все-таки злосчастный AdvWare ?
Забыл прицепной лог
dpil100.dll - можно не бояться , чистый ...
Thanks всем принявшим участие. С праздничком...
Восстановление системы включить обратно?
Восстановление системы можно включить ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\v68\\local settings\\temporary internet files\\content.ie5\\pi8o0ve6\\load[1].exe - Trojan.Win32.Pakes.ctd (DrWEB: Trojan.Packed.573)
- c:\\documents and settings\\v68\\local settings\\temp\\winlogon.exe - Trojan.Win32.Pakes.ctd (DrWEB: Trojan.Packed.573)
- c:\\docume~1\\v68\\locals~1\\temp\\winlogon.exe - Trojan.Win32.Pakes.ctd (DrWEB: Trojan.Packed.573)
- c:\\windows\\msauc.exe - Trojan.Win32.Agent.iii (DrWEB: Trojan.PWS.ICQSniff.25)
- c:\\windows\\system32\\basegkgc32.dll - Trojan.Win32.SubSys.dk (DrWEB: Trojan.Okuks.based)
Уважаемый(ая) isidoro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.