Junior Member
Вес репутации
58
Трояны в System Volume Information
Пару дней назад Касперский стал ругаться на вирусы, ну я сразу не обратил особого внимания, удалил да и все .но потом понял что вирус всегда почти один и тот же и в одном и том же месте.
А именно то на D://System Volume Information, то на C://System Volume Indormation
И вывести вирусы никак не получаеться. Надеюсь на вашу помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сообщение от
cTpaHHuk
А именно то на D://System Volume Information, то на C://System Volume Indormation
А системное восстановление отключить не догадались...
Это C:\Program Files\MYiE2 RU\ - зловред, мы его удалим. Пора уже на другие проводники переходить... Опера, Огнелис и т.д.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\86A9~1\LOCALS~1\Temp\loader.exe" /r
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winvc28');
DeleteService('Winud28');
DeleteService('Winrx85');
DeleteService('Winlt28');
DeleteService('Winip63');
DeleteService('Wingo85');
DeleteService('Winbi06');
DeleteService('Winbh41');
QuarantineFile('C:\Program Files\MYiE2 RU\SETUPAPI.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winud28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlt28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winip63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingo85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh41.sys','');
QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\W','');
QuarantineFile('C:\WINDOWS\WDVRCtrl.exe','');
DeleteFile('C:\W');
DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbi06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingo85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlt28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winud28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc28.sys');
DeleteFile('C:\Program Files\MYiE2 RU\SETUPAPI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Так вроде сделал как все написано)
Вложения
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Андрей\DoctorWeb\Quarantine\A0035730.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteService('OMSCAN');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('OMSCAN');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин, повторите логи.
Последний раз редактировалось Rene-gad; 10.08.2008 в 11:24 .
Причина: синтаксис скрипта
Junior Member
Вес репутации
58
Пишет - Ошибка j в позиции 5:17, когда пытаюсь выполнить скрипт
Последний раз редактировалось Rene-gad; 10.08.2008 в 11:24 .
Сообщение от
cTpaHHuk
Пишет - Ошибка j в позиции 5:17, когда пытаюсь выполнить скрипт
Я исправил скрипт, выполняйте
Junior Member
Вес репутации
58
Вот все вроде выполнил
Вопрос при перезагрузке высвечиваеться сообщение системное Ошибка в setupapi.dll
Отсутствует:s
Что с ним делать?) можно как-то убрать?
Вложения
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_Activate;
RebootWindows(true);
end.
Повторите логи от п.10 правил.
Junior Member
Вес репутации
58
Сообщение от
Rene-gad
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_Activate;
RebootWindows(true);
end.
Повторите логи от п.10 правил.
Пишет ошибка:"."expected в позиции 10:1
скрипт верный .... вы не скопировали последнюю точку ...
Junior Member
Вес репутации
58
Да действительно ошибся)
Вот вроде все сделал, правда сообщение все еще выскакиваеи системное
Вот логи
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(9 );
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
58
Ну во твроде все теперь ничег оне выскакивает и антивир не ругаеться
Вот логи
Вложения
в логах ничего зловредного ...
Junior Member
Вес репутации
58
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\андрей\\doctorweb\\quarantine\\a0035730. exe - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: archive: Adware.BitAcc.12) c:\\program files\\myie2 ru\\setupapi.dll - Trojan.Win32.Agent.yiu (DrWEB: Trojan.DownLoad.3443) \\2008-08-10\\bcqr00001.dta - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: archive: Adware.BitAcc.12) \\2008-08-10\\bcqr00002.dta - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: archive: Adware.BitAcc.12)