Junior Member
Вес репутации
61
Помогите избавиться от вирусов.
Всем добрый день.
В компьютере переодически отказываеются запускаться программы, в последнии дни IE совсем не запускается, падает. Логи пытался сделать в
нормальном режиме, но после того как AVZ начинал выполнять скрипт, машина перегружалась.
Понимаю что это не соответствует правилам, но по другому не смог сделать логи.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
Выполнять в обычном режиме...
Скачать ,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\System32\Drivers\Winnq71.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Hsq59.sys
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Hsq59', 4);
StopService('Hsq59');
DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
QuarantineFile('atiataxx.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\Windows\system\winload.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\kdrrr.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\System32\winhelp.exe','');
QuarantineFile('C:\WINDOWS\System32\ipserver.exe','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\Temp\winlogan.exe','');
QuarantineFile('C:\Temp\csrssc.exe','');
QuarantineFile('C:\Documents and Settings\ssa\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hsq59.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnq71.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
DeleteService('Hsq59');
DeleteService('Google Online Services');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hsq59.sys');
DeleteFile('C:\Documents and Settings\ssa\ie_updates3r.exe');
DeleteFile('C:\Temp\csrssc.exe');
DeleteFile('C:\Temp\winlogan.exe');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\winhelp.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\kdrrr.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\Windows\system\winload.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('atiataxx.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Hsq59 ');
BC_DeleteSvc('Google Online Services ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=26564
Повторите логи...
Junior Member
Вес репутации
61
карантин отослал.
Вот новые логи
Вложения
Пофиксите в HijackThis:
Код:
O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\ssa\LOCALS~1\Temp\csrssc.exe
O20 - Winlogon Notify: atiataxx - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\ssa\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Pyys83.sys','');
DeleteFile('C:\WINDOWS\System32\ipserver.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Pyys83.sys');
DeleteFile('C:\DOCUME~1\ssa\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\System32\kdrrr.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 48 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\ssa\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.zs (DrWEB: Trojan.DownLoader.based) c:\\temp\\winlogan.exe - Trojan-Downloader.Win32.Agent.wja (DrWEB: Trojan.DownLoad.2061) c:\\windows\\msserv.exe - Packed.Win32.Tibs.jn (DrWEB: Trojan.Packed.555) c:\\windows\\system\\winload.exe - Trojan.Win32.Buzus.lto (DrWEB: Trojan.MulDrop.18267) c:\\windows\\system32\\ipserver.exe - Trojan-Clicker.Win32.Delf.alm (DrWEB: Trojan.Click.19739) c:\\windows\\system32\\jdgf8edfsde.dll - Trojan.Win32.Agent.uvk (DrWEB: Trojan.Packed.56 c:\\windows\\system32\\kdrrr.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.deo (DrWEB: Trojan.Packed.511) c:\\windows\\system32\\winhelp.exe - Trojan.Win32.Buzus.mbg (DrWEB: Trojan.MulDrop.18434) c:\\windows\\winlogon.exe - Trojan.Win32.Agent.uvl (DrWEB: Trojan.Packed.573) \\quarantine\\2008-07-16\\bcqr00009.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22) \\quarantine\\2008-07-16\\bcqr00010.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22) \\quarantine\\2008-07-16\\bcqr00013.dta - Trojan.Win32.Buzus.mbg (DrWEB: Trojan.MulDrop.18434) \\quarantine\\2008-07-16\\bcqr00014.dta - Trojan.Win32.Buzus.mbg (DrWEB: Trojan.MulDrop.18434) \\quarantine\\2008-07-16\\bcqr00015.dta - Trojan-Clicker.Win32.Delf.alm (DrWEB: Trojan.Click.19739) \\quarantine\\2008-07-16\\bcqr00016.dta - Trojan-Clicker.Win32.Delf.alm (DrWEB: Trojan.Click.19739)