-
Junior Member
- Вес репутации
- 58
Помогите узнать,найти и удалить вирус
Проблема такова: деспетчер задач и регистр заблокирован, вирус заблокировал NOD32, а также блокирует разовые антивирусы. Также при запуске безопасного режыма идет комп на перезагрузку. запускал куреит из CD диска показал что заражены все екзешники но он их изличил якобы. Ну ето не все тепер еще клиент банк не запускаеться. Прошу помогите уже вторую ночь не сплю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
siniypank
Прошу помогите уже вторую ночь не сплю.
а надо было всего лишь прочитать и выполнить
-
-
Junior Member
- Вес репутации
- 58
щяс исправлюсь прикреплю логи
-
Junior Member
- Вес репутации
- 58
вот AVZ свежый
moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip),
если Вас об этом не просили.
Последний раз редактировалось Rene-gad; 07.08.2008 в 21:08.
-
Junior Member
- Вес репутации
- 58
-
Заканчиваем флудить, выполняем правила.
Советую Вам лечь и выспаться, а то дела не будет
-
-
Junior Member
- Вес репутации
- 58
Пытаюсь не флудить, лечь спать не могу хочу уйти в отпуск, вроде щя делаю правильно
Последний раз редактировалось siniypank; 08.08.2008 в 00:16.
-
Junior Member
- Вес репутации
- 58
Помогите плиз
Добавлено через 33 секунды
Пожалуйста не игнорируйте меня
Последний раз редактировалось siniypank; 07.08.2008 в 22:17.
Причина: Добавлено
-
Сообщение от
siniypank
вроде щя делаю правильно
нет. Карантин вместо лога. Базы АВЗ не обновили
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('UPSMON_Service');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
QuarantineFile('C:\WINDOWS\system32\sysuser\sys2.dll','');
QuarantineFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\wincruyxd.exe','');
QuarantineFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\winobrm.exe','');
DeleteFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\wincruyxd.exe');
DeleteFile('C:\DOCUME~1\НАТАША\LOCALS~1\Temp\winobrm.exe');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 07.08.2008 в 22:51.
-
-
Junior Member
- Вес репутации
- 58
буду стараться быть внимательным до правил
Последний раз редактировалось siniypank; 08.08.2008 в 08:59.
-
Junior Member
- Вес репутации
- 58
Посмотрите пожалуйста правильно ли я сейчас зделал?
-
Сообщение от
siniypank
Посмотрите пожалуйста правильно ли я сейчас зделал?
старайтесь и далее делать точно так, как написано .
Скачайте IceSword , поищите и удалите через опцию force delete файлы:
Код:
C:\WINDOWS\system32\Drivers\Winxl48.sys
C:\WINDOWS\system32\WinCtrl32.dll
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O4 - HKUS\S-1-5-21-842925246-1708537768-1343024091-1003\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system (User '?')
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
DeleteService('Winxl48');
DeleteService('Ovy58');
DeleteService('asc3360pr');
DeleteService('Winyf82');
DeleteService('Winxe85');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxl48.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\jlqoin.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovy58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe85.sys','');
QuarantineFile('c:\windows\system32\net1.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxl48.sys','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\qvbe.exe','');
DeleteFile('F:\qvbe.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxl48.sys');
DeleteFile('c:\windows\system32\net1.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovy58.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jlqoin.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
-
Junior Member
- Вес репутации
- 58
-
Сообщение от
siniypank
Вы торопитесь? надо было правила с самого начала выполнять.
Подключите драйв F - это флешка или что?
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
F3 - REG:win.ini: load=DTMONX.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\mswsoco.dll' missing
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
QuarantineFile('C:\WINDOWS\system32\mswsoco.dll','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\vtopg.cmd','');
DeleteFile('F:\vtopg.cmd');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\mswsoco.dll');
BC_ImportDeletedList;
ExecuteSysClean;
executerepair(7);
executerepair(14);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
извените пожалуста был сонный та усталый + хотел в отпуск. Драйв F - да ето флешка мне просто надоело ездить по городу туда, сюда вот и взял на свое рабочее место
-
Сообщение от
siniypank
Драйв F - да ето флешка
ОК, вставляем и делаем скрипт и т.д.
-
-
Junior Member
- Вес репутации
- 58
когда перенашу флеху на свой комп для того что бы сбросить логи проверяю куреитом
-
Сообщение от
siniypank
когда перенашу флеху на свой комп для того что бы сбросить логи проверяю куреитом
На флешке зверье сидит
-
-
Junior Member
- Вес репутации
- 58