Добрый день!
Подскажите, плз, как победить в этой нелегкой битве)
если просто удалять через авз, то он после перезагрузки появляется снова....
спасибо!
Добрый день!
Подскажите, плз, как победить в этой нелегкой битве)
если просто удалять через авз, то он после перезагрузки появляется снова....
спасибо!
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью hijackthis строчки:Программа AVZ - файл - выполнить скрипт - выполните следующий скритп:Код:R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\1\svchost.exe O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\1\svchost.exe O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe (User 'SYSTEM') O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dllСистема будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24823 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Winkq26\0000', 'CSConfigFlags', '1'); TerminateProcessByName('c:\windows\system32\drivers\services.exe'); QuarantineFile('C:\WINDOWS\system32\kdnzd.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq26.sys',''); QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nua84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Qwb62.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winci51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej40.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winta51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winua62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xdi05.sys',''); QuarantineFile('C:\WINDOWS\system32\winio.sys',''); QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winkq26.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\system32\ftp34.dll',''); QuarantineFile('c:\windows\system32\drivers\services.exe',''); DeleteFile('c:\windows\system32\drivers\services.exe'); BC_DeleteFile('c:\windows\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\ftp34.dll'); BC_DeleteFile('C:\WINDOWS\system32\ftp34.dll'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winkq26.sys'); DeleteFile('C:\WINDOWS\system32\sysbrw32.exe'); BC_DeleteFile('C:\WINDOWS\system32\sysbrw32.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Xdi05.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xdi05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winua62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintx84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wintx84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq73.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winlq73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp05.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winkp05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm73.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Wingm73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk05.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winfk05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej40.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winej40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winci51.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winci51.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwb62.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Qwb62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nua84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Nua84.sys'); DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll'); BC_DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq26.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winkq26.sys'); BC_DeleteSVC('Xdi05'); BC_DeleteSVC('Winvb72'); BC_DeleteSVC('Wintx84'); BC_DeleteSVC('Winta51'); BC_DeleteSVC('Winlq73'); BC_DeleteSVC('Winkp05'); BC_DeleteSVC('Winfk05'); BC_DeleteSVC('Winej40'); BC_DeleteSVC('Winci51'); BC_DeleteSVC('Winch27'); BC_DeleteSVC('Secdrv'); BC_DeleteSVC('Qwb62'); BC_DeleteSVC('Nua84'); BC_DeleteSVC('apcsvra'); BC_DeleteSVC('Winkq26'); BC_DeleteSVC('System Event Browser'); BC_DeleteSVC('Schedule'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; Executerepair(1); Executerepair(6); Executerepair(8); Executerepair(9); RebootWindows(true); end.
Отключите восстановление системы!
Перед созданием новых логов обновите базы AVZ!
I am not young enough to know everything...
фтп34.длл остался((
И не удивительно.
Во-первых, Повторяю: Отключите восстановление системы!
Во-вторых, при выполнении скриптов и фиксов необходимо отключать не только антивирус, но и программу Ad-aware (а лучше бы ее совсем удалить).
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=explorer.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\1\svchost.exe O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\1\svchost.exe O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [winlogon] C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe (User 'Default user') O4 - Startup: userinit.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\ftp34.dll'); DeleteFile('C:\Documents and Settings\1\svchost.exe'); DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe'); DeleteFile('C:\WINDOWS\system32\blphcg39j0epdg.scr'); DeleteFile(C:\WINDOWS\system32\kdnzd.exe'); DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\4H6FS9YZ\60[1].com'); BC_ImportALL; BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('apcsvra32'); ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(true); end.
Обновите базы AVZ!
Сделайте новые логи.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)
Уважаемый(ая) Seva1414, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.