-
Junior Member
- Вес репутации
- 59
ooy35.sys
AVZ ругается на файл ooy35.sys, который находится в папке
C:\WINDOWS\system32\Drivers. Этот файл ничем не удаляется, его нельзя даже скопировать. В Сети по нему никакой информации. Система ведет себя подозрительно, может в этом файле все дело?
Подскажите кто знает.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
varloorni
может в этом файле все дело?
Да, в нем, а может быть и не только.
Сделайте логи по правилам, и мы вам обязательно поможем.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось varloorni; 21.10.2009 в 22:01.
-
Не этот лог. Нужны логи по правилам http://virusinfo.info/showthread.php?t=1235 (начиная с пункта 8 ).
-
-
Junior Member
- Вес репутации
- 59
Прикладываю логи по правилам.
Последний раз редактировалось varloorni; 21.10.2009 в 22:01.
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rhr48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvg35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Goq71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ais68.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ooy35.sys','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ooy35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ais68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Goq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvg35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rhr48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\WinNt32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\BN3.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=23231).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось varloorni; 21.10.2009 в 22:01.
-
Пофиксите
Код:
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('gdrv');
DeleteService('gdrv');
StopService('Ooy35');
DeleteService('Ooy35');
QuarantineFile('C:\WINDOWS\System32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ooy35.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ooy35.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ooy35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ooy35.sys');
DeleteFile('C:\WINDOWS\System32\WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки - карантин по правилам и новые логи в студию
Последний раз редактировалось Rene-gad; 22.05.2008 в 21:14.
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось varloorni; 21.10.2009 в 22:01.
-
скачайте C:\WINDOWS\system32\WinNt32.dll, C:\WINDOWS\System32\Drivers\Ooy35.sys - force delete
пофиксите ...
Код:
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Ooy35');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ooy35.sys','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ooy35.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ..
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось varloorni; 21.10.2009 в 22:01.
-
Теперь чисто. Какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 59
Визуально проблем не наблюдается. Всем большое спасибо за труд и помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\local settings\\temp\\bn3.tmp - Trojan.Win32.Pakes.cww (DrWEB: BackDoor.Bulknet.18
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007495.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007513.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007548.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007612.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007614.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp63\\a0007636.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp63\\a0007658.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp63\\a0007672.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\windows\\system32\\drivers\\ooy35.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
- c:\\windows\\system32\\drivers\\tcpsr.sys - SpamTool.Win32.Agent.jn (DrWEB: Trojan.NtRootKit.1070)
-