Junior Member
Вес репутации
58
Заражён buritos, braviax, carina, xpsecurity
Здравствуйте!
Может, где-то буду излагать неточно и по-дилетантски, так как я не компьютерщик, а врач.
Так что извиняюсь наперёд.
Неделю назад я провёл себе нормальный интернет (до того пользовался мобильным). Антивирус у меня был НОД32 - версия с продлённым триал-периодом до 27000 дней неизвестного автора. Через некоторое время система стала подглючивать, а вчера вообще два раза "синий экран смерти" мигал. Параллельно начало появляться подозрительное сообщение около часов о вирусной угрозе. Я, не долго думая, пошёл в магазин и купил КИС 7.0. Перед установкой деинсталлировал НОД. Перезапустил компьютер и начал инсталлировать КИС. Поначалу всё было благополучно, КИС догрузился, я его активировал и он перезапустил компьютер. При перезапуске окошко КИС уже было интегрировано в заставки Виндовс. И тут внезапно при автозапуске включился только что удалённый мною НОД. Компьютер, естественно, сошёл с ума и завис намертво. Я его перезагрузил. КИС не запустился. НОД при запуске завис, но после перезапуска я его удалил опять, и на этот раз программой Your Uninstaller. В дальнейшем все мои попытки запустить КИС не увенчались успехом. Я задал вопрос на форуме Касперского, но мне там ответили непонятно, даже не поняв, что КИС у меня вообще не запускается. Я заглянул в службы Виндовс и обнаружил кучу клонированых служб, у каждой из которых был один источник - файл с невразумительным названием, состоящим из непонятных символов. Я поотключал все клоны. Параллельно я заметил, что при перезагрузках компьютера всё время появляются отключаемые мною службы "Буритос" и "Бравиакс". Несмотря на отключение служб-клонов, компьютер глючил просто ужасающе. Я деинсталлировал незапускающийся КИС и установил НОД32 где-то годичной давности, скачал ключ на него и активировал. Обновил и тут же запустил. НОД прибил следующие вирусы: buritos.exe, braviax.exe, carina.dat, xpsecurity и пару инсталяционных архивов для вирусов (правда, не сразу - в первый раз после запуска сразу выдало "синий экран"). Я вырубил интернет и перезагрузил компьютер. Повторно запустил НОД, он прибил ещё два файла, которые не попали под раздачу в первый раз. Компьютер глючить совсем перестал, я деинсталлировал НОД и опять попробовал установить лицензионный КИС. Тот даже не дошёл до активации и умер. Попытки переустановить КИС результата не дали - КИС не запускался. Я повторил вышеописанную процедуру с НОДом, использовав максимальные настройки. Параллельно посмотрел в поисковике по названиям вирусов и нашёл ваш форум. Решил следовать вашим инструкциям.
При краткой проверке утилита Dr.Web CureIt убила два вируса - BackDoor.Bulknet и Trojan.MulDrop. Я перезапустил комп в безопасном режиме и запустил полную проверку. Нашлись те же два типа вируса и один подозрительный - всем каюк.
Дальше AVZ и HiJack тоже что-то нарыли.
Логи прилагаются.
Спасибо вам за вашу работу!
Вложения
Последний раз редактировалось Rene-gad; 07.09.2008 в 10:55 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winac18');
BC_DeleteSvc('Winau67');
BC_DeleteSvc('Winav07');
BC_DeleteSvc('Winbb82');
BC_DeleteSvc('Winbe28');
BC_DeleteSvc('Winbe44');
BC_DeleteSvc('Winbm86');
BC_DeleteSvc('Winbx06');
BC_DeleteSvc('Winco74');
BC_DeleteSvc('Wincw86');
BC_DeleteSvc('Windc54');
BC_DeleteSvc('Windl44');
BC_DeleteSvc('Windm22');
BC_DeleteSvc('Winds55');
BC_DeleteSvc('Wineb63');
BC_DeleteSvc('Winei52');
BC_DeleteSvc('Winen86');
BC_DeleteSvc('Wineq17');
BC_DeleteSvc('Winey20');
BC_DeleteSvc('Winfc66');
BC_DeleteSvc('Winfo33');
BC_DeleteSvc('Winfw28');
BC_DeleteSvc('Wingd17');
BC_DeleteSvc('Wingg18');
BC_DeleteSvc('Winha05');
BC_DeleteSvc('Winha70');
BC_DeleteSvc('Winib75');
BC_DeleteSvc('Winik25');
BC_DeleteSvc('Winjc55');
BC_DeleteSvc('Winjs30');
BC_DeleteSvc('Winjy00');
BC_DeleteSvc('Winkd10');
BC_DeleteSvc('Winlj55');
BC_DeleteSvc('Winmc16');
BC_DeleteSvc('Winmf88');
BC_DeleteSvc('Winmh06');
BC_DeleteSvc('Winmq12');
BC_DeleteSvc('Winmq28');
BC_DeleteSvc('Winmr71');
BC_DeleteSvc('Winmw33');
BC_DeleteSvc('Winop06');
BC_DeleteSvc('Winnc75');
BC_DeleteSvc('Winng77');
BC_DeleteSvc('Winnk57');
BC_DeleteSvc('Winnu47');
BC_DeleteSvc('Winoq31');
BC_DeleteSvc('Winor00');
BC_DeleteSvc('Winpb00');
BC_DeleteSvc('Winpf88');
BC_DeleteSvc('Winpm53');
BC_DeleteSvc('Winqg18');
BC_DeleteSvc('Winqk31');
BC_DeleteSvc('Winre84');
BC_DeleteSvc('Winrf64');
BC_DeleteSvc('Winrg46');
BC_DeleteSvc('Winri18');
BC_DeleteSvc('Winrk15');
BC_DeleteSvc('Winry20');
BC_DeleteSvc('Winse17');
BC_DeleteSvc('Winsp64');
BC_DeleteSvc('Winsr62');
BC_DeleteSvc('Wintb42');
BC_DeleteSvc('Wintb75');
BC_DeleteSvc('Winti07');
BC_DeleteSvc('Wintm25');
BC_DeleteSvc('Winuc00');
BC_DeleteSvc('Winuo07');
BC_DeleteSvc('Winus82');
BC_DeleteSvc('Winuw06');
BC_DeleteSvc('Winvf33');
BC_DeleteSvc('Winvo76');
BC_DeleteSvc('Winvr07');
BC_DeleteSvc('Winwf05');
BC_DeleteSvc('Winwt11');
BC_DeleteSvc('Winxb44');
BC_DeleteSvc('Winxq18');
BC_DeleteSvc('Winxq86');
BC_DeleteSvc('Winym62');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
BC_DeleteSvc('WZCSVCThemesDhcp');
BC_DeleteSvc('WZCSVCRpcSsEventlogEhttpSrv');
BC_DeleteSvc('WZCSVCRpcSsEventlog');
BC_DeleteSvc('wuauservSwPrv');
BC_DeleteSvc('wuauservScheduleTlntSvr');
BC_DeleteSvc('wscsvcScheduleTlntSvr');
BC_DeleteSvc('WmiNVSvc');
BC_DeleteSvc('Wmiekrn');
BC_DeleteSvc('WmiApSrvwscsvcThemes');
BC_DeleteSvc('WmiApSrvwscsvc');
BC_DeleteSvc('WmiApSrvCryptSvc');
BC_DeleteSvc('WmdmPmSNNetDDEdsdm');
BC_DeleteSvc('WmdmPmSNBITS');
BC_DeleteSvc('winmgmtaspnet_stateFontCache3.0.0.0');
BC_DeleteSvc('WebClientNetmanNetmanWZCSVCProtectedStorageUlepacckbdw');
BC_DeleteSvc('VSSSSDPSRV');
BC_DeleteSvc('VSSShellHWDetection');
BC_DeleteSvc('UPSVSSSSDPSRV');
BC_DeleteSvc('UPSRemoteAccess');
BC_DeleteSvc('upnphostSpooleraspnet_stateFontCache3.0.0.0lanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
BC_DeleteSvc('upnphostSpooleraspnet_stateFontCache3.0.0.0');
BC_DeleteSvc('upnphostSpooler');
BC_DeleteSvc('Ulepacckbdw');
BC_DeleteSvc('TTFixerServiceCiSvc');
BC_DeleteSvc('TrkWksFastUserSwitchingCompatibility');
BC_DeleteSvc('ThemesRpcLocatorThemesRpcLocatorRpcLocator');
BC_DeleteSvc('ThemesRpcLocatorSSDPSRVwuauserv');
BC_DeleteSvc('ThemesRpcLocatorSSDPSRV');
BC_DeleteSvc('ThemesRpcLocatorRpcLocatorClipSrvlanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
BC_DeleteSvc('ThemesRpcLocatorRpcLocator');
BC_DeleteSvc('ThemesRpcLocatorRasAutoMSIServerThemesCiSvcNetDDEdsdmidsvc');
BC_DeleteSvc('ThemesRpcLocatorRasAutoMSIServerThemes');
BC_DeleteSvc('ThemesRpcLocator');
BC_DeleteSvc('ThemesDhcp');
BC_DeleteSvc('TapiSrvNetDDE');
BC_DeleteSvc('SysmonLogDcomLaunchAudioSrv');
BC_DeleteSvc('SysmonLogDcomLaunch');
BC_DeleteSvc('StarWindServiceAEW32Time');
BC_DeleteSvc('SSDPSRVVSS');
BC_DeleteSvc('SSDPSRVEhttpSrv');
BC_DeleteSvc('SpoolerThemesRpcLocatorRemoteAccessdmadminClipSrvWmiApSrvwscsvcSCardSvrNetmanWZCSVC');
BC_DeleteSvc('SpoolerThemesRpcLocatorRemoteAccessdmadminClipSrvWmiApSrvwscsvcSCardSvr');
BC_DeleteSvc('SpoolerThemesRpcLocatorRemoteAccess');
BC_DeleteSvc('SpoolerThemesRpcLocator');
BC_DeleteSvc('SpoolerThemesRpcLocatorNVSvc');
BC_DeleteSvc('SharedAccessPolicyAgentTrkWksProtectedStorageBrowser');
BC_DeleteSvc('SharedAccessPolicyAgentTrkWksProtectedStorage');
BC_DeleteSvc('SharedAccessPolicyAgentNetmanupnphostSpooleraspnet_stateFontCache3.0.0.0RSVP');
BC_DeleteSvc('SharedAccessPolicyAgentNetmanupnphostSpooleraspnet_stateFontCache3.0.0.0');
BC_DeleteSvc('SharedAccessPolicyAgentNetmanBrowseraspnet_stateekrn');
BC_DeleteSvc('SharedAccessPolicyAgentNetman');
BC_DeleteSvc('seclogonScheduleTlntSvr');
BC_DeleteSvc('seclogonMessengerHTTPFilter');
BC_DeleteSvc('ScheduleTlntSvr');
BC_DeleteSvc('SamSsClipSrvEventlogProtectedStorageStarWindServiceAESpoolerThemesRpcLocatorNVSvc');
BC_DeleteSvc('SamSsClipSrvEventlogProtectedStorageStarWindServiceAE');
BC_DeleteSvc('RpcSsTermServicewuauservSwPrv');
BC_DeleteSvc('RpcSsTermServiceTTFixerServiceSharedAccessPolicyAgentTrkWksProtectedStorage');
BC_DeleteSvc('RpcSsTermServiceTTFixerService');
BC_DeleteSvc('RpcSsTermService');
BC_DeleteSvc('RpcSsEventlogWMPNetworkSvc');
BC_DeleteSvc('RpcSsEventlog');
BC_DeleteSvc('RpcLocatorRemoteAccessNtLmSspALGCiSvcTlntSvr');
BC_DeleteSvc('RemoteAccessTrkWksFastUserSwitchingCompatibility');
BC_DeleteSvc('RemoteAccessNtLmSspALGCiSvc');
BC_DeleteSvc('RemoteAccessNtLmSsp');
BC_DeleteSvc('RDSessMgrWudfSvc');
BC_DeleteSvc('RasManDhcpWmdmPmSNBITS');
BC_DeleteSvc('RasAutoPolicyAgent');
BC_DeleteSvc('RasAutoMSIServerThemes');
BC_DeleteSvc('ProtectedStorageUlepacckbdwTTFixerService');
BC_DeleteSvc('ProtectedStorageUlepacckbdw');
BC_DeleteSvc('ProtectedStorageTlntSvr');
BC_DeleteSvc('PolicyAgentMSIServerThemes');
BC_DeleteSvc('NVSvcwscsvcseclogon');
BC_DeleteSvc('NVSvcRemoteAccessNtLmSsp');
BC_DeleteSvc('NetmanWZCSVC');
BC_DeleteSvc('NetmanNetmanWZCSVCProtectedStorageUlepacckbdw');
BC_DeleteSvc('NetmanNetmanWZCSVCdmadminClipSrvWmiApSrvwscsvc');
BC_DeleteSvc('NetmanNetmanWZCSVC');
BC_DeleteSvc('NetDDEdsdmidsvcNetmanNetmanWZCSVC');
BC_DeleteSvc('NetDDEdsdmidsvc');
BC_DeleteSvc('NetDDECOMSysApp');
BC_DeleteSvc('NetDDECiSvcNetDDEdsdmidsvc');
BC_DeleteSvc('MSIServerWMPNetworkSvc');
BC_DeleteSvc('MSIServerThemes');
BC_DeleteSvc('MSDTCAdobeHTTPFilter');
BC_DeleteSvc('MessengerHTTPFilter');
BC_DeleteSvc('LmHostsERSvcThemesRpcLocatorRpcLocator');
BC_DeleteSvc('lanmanserverTrkWks');
BC_DeleteSvc('lanmanserverScheduleTlntSvrxmlprov');
BC_DeleteSvc('lanmanserverScheduleTlntSvrwscsvcScheduleTlntSvrhelpsvc');
BC_DeleteSvc('lanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
BC_DeleteSvc('lanmanserverScheduleTlntSvr');
BC_DeleteSvc('lanmanserverMessengerHTTPFilter');
BC_DeleteSvc('HTTPFilterRasAutoMSIServerThemes');
BC_DeleteSvc('EventSystemERSvcdmadminClipSrvWmiApSrvwscsvc');
BC_DeleteSvc('EventSystemERSvc');
BC_DeleteSvc('EventlogProtectedStorageupnphost');
BC_DeleteSvc('EventlogProtectedStorage');
BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphostERSvcThemesRpcLocatorRpcLocatorupnphostRDSessMgr');
BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphostDcomLaunch');
BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphost');
BC_DeleteSvc('EhttpSrvRemoteAccess');
BC_DeleteSvc('DnscacheWmiekrn');
BC_DeleteSvc('dmserverWMPNetworkSvcNetDDECOMSysApp');
BC_DeleteSvc('dmserverWmdmPmSNBITS');
BC_DeleteSvc('dmadminClipSrvWmiApSrvwscsvcSCardSvr');
BC_DeleteSvc('dmadminClipSrvWmiApSrvwscsvc');
BC_DeleteSvc('DhcpWmdmPmSNBITSWZCSVCThemesDhcp');
BC_DeleteSvc('DhcpWmdmPmSNBITS');
BC_DeleteSvc('DcomLaunchNVSvcwscsvc');
BC_DeleteSvc('COMSysAppALGTTFixerServiceWebClientSpoolerThemesRpcLocatorNVSvc');
BC_DeleteSvc('COMSysAppALGTTFixerServiceThemesRpcLocatorRpcLocator');
BC_DeleteSvc('COMSysAppALGTTFixerServicelanmanworkstation');
BC_DeleteSvc('COMSysAppALGTTFixerService');
BC_DeleteSvc('ClipSrvWmiApSrvwscsvc');
BC_DeleteSvc('ClipSrvMSDTC');
BC_DeleteSvc('ClipSrvlanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
BC_DeleteSvc('ClipSrvlanmanserverScheduleTlntSvrwscsvcScheduleTlntSvrALGCiSvcaspnet_stateFontCache3.0.0.0');
BC_DeleteSvc('ClipSrvEventlogProtectedStorageWMPNetworkSvc');
BC_DeleteSvc('ClipSrvEventlogProtectedStorageStarWindServiceAE');
BC_DeleteSvc('ClipSrvEventlogProtectedStorageSpooler');
BC_DeleteSvc('ClipSrvEventlogProtectedStorage');
BC_DeleteSvc('CiSvcAppMgmt');
BC_DeleteSvc('CachemanXPServiceSpoolerThemesRpcLocatorRemoteAccess');
BC_DeleteSvc('BrowserRpcSsEventlog');
BC_DeleteSvc('Browseraspnet_stateekrn');
BC_DeleteSvc('Browseraspnet_state');
BC_DeleteSvc('AudioSrvHTTPFilterRasAutoMSIServerThemesRemoteAccessMSIServerThemes');
BC_DeleteSvc('AudioSrvEhttpSrvALG');
BC_DeleteSvc('AudioSrvEhttpSrv');
BC_DeleteSvc('aspnet_stateFontCache3.0.0.0');
BC_DeleteSvc('ALGTTFixerService');
BC_DeleteSvc('ALGCiSvcwinmgmt');
BC_DeleteSvc('ALGCiSvcRpcLocator');
BC_DeleteSvc('ALGCiSvcaspnet_stateFontCache3.0.0.0');
BC_DeleteSvc('ALGCiSvc');
BC_DeleteSvc('AlerterTTFixerServiceCiSvcThemesRpcLocatorRasAutoMSIServerThemesCiSvcNetDDEdsdmidsvc');
BC_DeleteSvc('AlerterTTFixerServiceCiSvc');
BC_DeleteSvc('AdobeHTTPFilter');
DeleteFile('C:\WINDOWS\System32\Drivers\Winac18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winad88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winau52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winau67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbm86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbx06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincf64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winco77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincw86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windc54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windl44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windm22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winds55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineb63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winei52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winen86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineq17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winey20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfc66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winff42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfo33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfo37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfw28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingd17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingf88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winha05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhe41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winht42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winib75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winik25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjc55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjs30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjy00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkd10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winko30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlj55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlo22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmf88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmh06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmq12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmw33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnc75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnk57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winop06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoq31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpb00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpf88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpm53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqg18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqk31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqq07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrc33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrc45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winre84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrf64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrg46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winri18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrk15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winse17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsh07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsp64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsr62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winti07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintm25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintm40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintq08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintq11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvf33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winus82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuw06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvo76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwt11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxb44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyh81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winym62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyv01.sys');
DeleteFile('karina.dat');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ....
Последний раз редактировалось V_Bond; 07.09.2008 в 11:13 .
Junior Member
Вес репутации
58
Re
При выполнении скрипта AVZ грохнул что-то, но в списке служб при автозапуске эти буритосы остались, хоть и отключенные. Но комп работает намного быстрее.
А что мне делать с антивирусом? Я теперь при запуске AVZ его вырубил.
Вложения
Последний раз редактировалось Rene-gad; 07.09.2008 в 14:29 .
выполните скрипт .......
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winww42');
BC_DeleteSvc('Winvw63');
BC_DeleteSvc('Winil30');
BC_DeleteSvc('Winfb11');
BC_DeleteSvc('Windv74');
BC_DeleteSvc('Winbc77');
BC_DeleteSvc('WMPNetworkSvcNetDDECOMSysApp');
BC_DeleteSvc('SharedAccessPolicyAgentTrkWks');
BC_DeleteSvc('SharedAccessPolicyAgent');
BC_DeleteSvc('SCardSvrstisvcThemesRpcLocatorRpcLocator');
BC_DeleteSvc('SCardSvrstisvc');
BC_DeleteSvc('RpcLocatorTermService');
BC_DeleteSvc('RpcLocatorRemoteAccessNtLmSspALGCiSvc');
BC_DeleteSvc('RemoteAccessMSIServerThemes');
BC_DeleteSvc('NVSvcwscsvc');
BC_DeleteSvc('NetmanALGCiSvc');
BC_DeleteSvc('lanmanserverScheduleTlntSvrSpooler');
BC_DeleteSvc('FastUserSwitchingCompatibilityWmiApSrvwscsvc');
BC_DeleteSvc('EventlogProtectedStorageWmiNVSvc');
BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphostRDSessMgr');
BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocator');
BC_DeleteSvc('COMSysAppBITS');
BC_DeleteSvc('DhcpImapiService');
BC_DeleteSvc('dmadminNetDDE');
BC_DeleteSvc('COMSysAppALGTTFixerServiceWebClient');
BC_DeleteSvc('COMSysAppALGTTFixerServicelanmanworkstationSharedAccessPolicyAgentTrkWksProtectedStorage');
BC_DeleteSvc('CiSvcNetDDEdsdmidsvc');
BC_DeleteSvc('CiSvcAppMgmtImapiService');
BC_DeleteSvc('ALGCiSvcwinmgmtLmHosts');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbc77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windv74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfb11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winil30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvw63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winww42.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
сделать полный комплект логов ....
Junior Member
Вес репутации
58
Там ещё один лог есть, кроме описанных в правилах - virusinfo_cure.zip. Его не надо добавлять?
это - карантин. Его нужно закачать по правилам
Вот логи:
Что делать с НОДом?
И диском с КИС 7.0 :-)
Вложения
Последний раз редактировалось Rene-gad; 07.09.2008 в 15:22 .
Junior Member
Вес репутации
58
Не въехал
Немного не понял - его надо вам закачать как-то или не трогать?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
DeleteService('AudioSrvHTTPFilterRasAutoMSIServerThemes');
DeleteService('DhcpWmdmPmSNBITSNVSvc');
DeleteService('WmdmPmSNWmiApSrv');
DeleteService('NetmanWZCSVCSharedAccessPolicyAgentNetmanBrowseraspnet_stateekrn');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AudioSrvHTTPFilterRasAutoMSIServerThemes');
BC_DeleteSvc('DhcpWmdmPmSNBITSNVSvc');
BC_DeleteSvc('WmdmPmSNWmiApSrv');
BC_DeleteSvc('NetmanWZCSVCSharedAccessPolicyAgentNetmanBrowseraspnet_stateekrn');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Сделал
Вложения
-Пофиксите
Код:
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Какие еще проблемы?
Junior Member
Вес репутации
58
Сделал
Пофиксил.
Внешних проявлений каких-либо проблем не видно, но в списке служб по-прежнему присутствуют, хоть и отключенные, буритос и бравиакс.
И каким антивирусом пользоваться?
Пусть стоит дальше НОД, или поробовать опять установить лицензионный КИС?
АВЗ, Сервис/Диспетчер служб и процессов.. Сделайте по очереди лог служб (все) и лог процессов (все). Логи - в студию.
Насчет антивируса - как хотите.
Junior Member
Вес репутации
58
Как?
Как сделать лог?
Сохранить протокол?
Насчёт антивируса - что Вы рекомендуете?
А то НОД со скачанным ключом, а КИС умер, не родившись...
Сообщение от
Аминазин
Как сделать лог?
Сохранить протокол?
Да, И в службах и в процессах есть иконка с дискеттой.
Сообщение от
Аминазин
Насчёт антивируса - что Вы рекомендуете?
Ничего - как Вам больше нравится...
Junior Member
Вес репутации
58
Сделал
Логи сделал, но их не хочет загружать. Надо заархивировать, что ли?
Насчёт антивируса - мне АВЗ понравился :-)
Junior Member
Вес репутации
58
Получилось
Мои документы.zip
Заархивировал, отправил.
Junior Member
Вес репутации
58
Ау
Народ, обо мне никто не забыл?
А то я не знаю, чё делать...
ничего там не присутствует ....
Junior Member
Вес репутации
58
То есть, наличие "буритос" и "бравиакс" в списке служб - это остатки какие-то?
Не обессудьте, я всего лишь доктор и не всё понимаю.
Комп работает как бешенный, всё пучком. Спасибо, ребята, будут какие-то веб-мани - обязательно вам перечислю! У вас очень актуальный портал!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения вредоносные программы в карантинах не обнаружены