Здравствуйте.
Аваст обнаруживает все время червей и удаляеь их.
Но похоже никак. Проверил АВЗ, вроде все чисто. Но логи сделал.
Куриитом тоже воспользовался.
У пользователя все время вылетает IE, не хочет грузится. Только включится сразу пропадает.
Здравствуйте.
Аваст обнаруживает все время червей и удаляеь их.
Но похоже никак. Проверил АВЗ, вроде все чисто. Но логи сделал.
Куриитом тоже воспользовался.
У пользователя все время вылетает IE, не хочет грузится. Только включится сразу пропадает.
Последний раз редактировалось Jinn; 22.07.2008 в 12:44.
скачайте D:\WINDOWS\System32\Drivers\Wincb71.sys D:\WINDOWS\system32\Drivers\Crb48.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}'); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('D:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('D:\DOCUME~1\DE29~1\LOCALS~1\Temp\csrssc.exe',''); BC_DeleteSvc('Winxo26'); BC_DeleteSvc('Winwo27'); BC_DeleteSvc('Winue38'); BC_DeleteSvc('Winpq84'); BC_DeleteSvc('Winnm26'); BC_DeleteSvc('Winll04'); BC_DeleteSvc('Wingw62'); BC_DeleteSvc('Winfv38'); BC_DeleteSvc('Winbb40'); BC_DeleteSvc('Winaq60'); BC_DeleteSvc('Wincb71'); QuarantineFile('D:\WINDOWS\System32\Drivers\Wincb71.sys',''); QuarantineFile('d:\windows\system32\msservice.exe',''); BC_DeleteSvc('Crb48'); BC_DeleteSvc('Microsoft Internet Service'); QuarantineFile('Wincb71.sys',''); QuarantineFile('D:\WINDOWS\system32\Drivers\Crb48.sys',''); QuarantineFile('D:\WINDOWS\TEMP\winlogan.exe',''); QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('D:\WINDOWS\system32\jdgf8edfsde.dll',''); TerminateProcessByName('d:\windows\temp\winlogan.exe'); QuarantineFile('d:\windows\temp\winlogan.exe',''); TerminateProcessByName('d:\documents and settings\Елена\ie_updates3r.exe'); QuarantineFile('d:\documents and settings\Елена\ie_updates3r.exe',''); TerminateProcessByName('d:\docume~1\de29~1\locals~1\temp\390781079.exe'); TerminateProcessByName('d:\windows\temp\4214233990.exe'); TerminateProcessByName('d:\docume~1\de29~1\locals~1\temp\801375466.exe'); QuarantineFile('d:\docume~1\de29~1\locals~1\temp\801375466.exe',''); QuarantineFile('d:\windows\temp\4214233990.exe',''); QuarantineFile('d:\docume~1\de29~1\locals~1\temp\390781079.exe',''); DeleteFile('d:\docume~1\de29~1\locals~1\temp\390781079.exe'); DeleteFile('d:\windows\temp\4214233990.exe'); DeleteFile('d:\docume~1\de29~1\locals~1\temp\801375466.exe'); DeleteFile('d:\documents and settings\Елена\ie_updates3r.exe'); DeleteFile('d:\windows\temp\winlogan.exe'); DeleteFile('D:\WINDOWS\system32\jdgf8edfsde.dll'); DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('D:\WINDOWS\TEMP\winlogan.exe'); DeleteFile('D:\WINDOWS\system32\Drivers\Crb48.sys'); DeleteFile('Wincb71.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Wincb71.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winaq60.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winbb40.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winfv38.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Wingw62.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winll04.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winnm26.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winpq84.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winue38.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winwo27.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winxo26.sys'); DeleteFile('D:\DOCUME~1\DE29~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('D:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('D:\WINDOWS\msserv.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Спасибо.
Скрипт выполнил. Программку скачал IceWords, но файлы не обнаружил.
Логи высылаю. Карантин также выслал, согласно правилам. IE теперь запускается
Последний раз редактировалось Jinn; 22.07.2008 в 12:44.
Антивирус отключить!!
Профиксить:
Выполнить скрипт:Код:O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winyp84'); BC_DeleteSvc('Wintk40'); BC_DeleteSvc('Winqq73'); BC_DeleteSvc('Winbj27'); BC_DeleteSvc('Microsoft Internet Service'); DeleteFile('d:\windows\system32\msservice.exe'); DeleteFile('D:\WINDOWS\System32\Drivers\Winbj27.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winqq73.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Wintk40.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Winyp84.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Jinn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.