Показано с 1 по 19 из 19.

Заражён buritos, braviax, carina, xpsecurity (заявка № 29723)

  1. #1
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Заражён buritos, braviax, carina, xpsecurity

    Здравствуйте!

    Может, где-то буду излагать неточно и по-дилетантски, так как я не компьютерщик, а врач.
    Так что извиняюсь наперёд.
    Неделю назад я провёл себе нормальный интернет (до того пользовался мобильным). Антивирус у меня был НОД32 - версия с продлённым триал-периодом до 27000 дней неизвестного автора. Через некоторое время система стала подглючивать, а вчера вообще два раза "синий экран смерти" мигал. Параллельно начало появляться подозрительное сообщение около часов о вирусной угрозе. Я, не долго думая, пошёл в магазин и купил КИС 7.0. Перед установкой деинсталлировал НОД. Перезапустил компьютер и начал инсталлировать КИС. Поначалу всё было благополучно, КИС догрузился, я его активировал и он перезапустил компьютер. При перезапуске окошко КИС уже было интегрировано в заставки Виндовс. И тут внезапно при автозапуске включился только что удалённый мною НОД. Компьютер, естественно, сошёл с ума и завис намертво. Я его перезагрузил. КИС не запустился. НОД при запуске завис, но после перезапуска я его удалил опять, и на этот раз программой Your Uninstaller. В дальнейшем все мои попытки запустить КИС не увенчались успехом. Я задал вопрос на форуме Касперского, но мне там ответили непонятно, даже не поняв, что КИС у меня вообще не запускается. Я заглянул в службы Виндовс и обнаружил кучу клонированых служб, у каждой из которых был один источник - файл с невразумительным названием, состоящим из непонятных символов. Я поотключал все клоны. Параллельно я заметил, что при перезагрузках компьютера всё время появляются отключаемые мною службы "Буритос" и "Бравиакс". Несмотря на отключение служб-клонов, компьютер глючил просто ужасающе. Я деинсталлировал незапускающийся КИС и установил НОД32 где-то годичной давности, скачал ключ на него и активировал. Обновил и тут же запустил. НОД прибил следующие вирусы: buritos.exe, braviax.exe, carina.dat, xpsecurity и пару инсталяционных архивов для вирусов (правда, не сразу - в первый раз после запуска сразу выдало "синий экран"). Я вырубил интернет и перезагрузил компьютер. Повторно запустил НОД, он прибил ещё два файла, которые не попали под раздачу в первый раз. Компьютер глючить совсем перестал, я деинсталлировал НОД и опять попробовал установить лицензионный КИС. Тот даже не дошёл до активации и умер. Попытки переустановить КИС результата не дали - КИС не запускался. Я повторил вышеописанную процедуру с НОДом, использовав максимальные настройки. Параллельно посмотрел в поисковике по названиям вирусов и нашёл ваш форум. Решил следовать вашим инструкциям.

    При краткой проверке утилита Dr.Web CureIt убила два вируса - BackDoor.Bulknet и Trojan.MulDrop. Я перезапустил комп в безопасном режиме и запустил полную проверку. Нашлись те же два типа вируса и один подозрительный - всем каюк.
    Дальше AVZ и HiJack тоже что-то нарыли.
    Логи прилагаются.
    Спасибо вам за вашу работу!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 07.09.2008 в 10:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winac18');
     BC_DeleteSvc('Winau67');
     BC_DeleteSvc('Winav07');
     BC_DeleteSvc('Winbb82');
     BC_DeleteSvc('Winbe28');
     BC_DeleteSvc('Winbe44');
     BC_DeleteSvc('Winbm86');
     BC_DeleteSvc('Winbx06');
     BC_DeleteSvc('Winco74');
     BC_DeleteSvc('Wincw86');
     BC_DeleteSvc('Windc54');
     BC_DeleteSvc('Windl44');
     BC_DeleteSvc('Windm22');
     BC_DeleteSvc('Winds55');
     BC_DeleteSvc('Wineb63');
     BC_DeleteSvc('Winei52');
     BC_DeleteSvc('Winen86');
     BC_DeleteSvc('Wineq17');
     BC_DeleteSvc('Winey20');
     BC_DeleteSvc('Winfc66');
     BC_DeleteSvc('Winfo33');
     BC_DeleteSvc('Winfw28');
     BC_DeleteSvc('Wingd17');
     BC_DeleteSvc('Wingg18');
     BC_DeleteSvc('Winha05');
     BC_DeleteSvc('Winha70');
     BC_DeleteSvc('Winib75');
     BC_DeleteSvc('Winik25');
     BC_DeleteSvc('Winjc55');
     BC_DeleteSvc('Winjs30');
     BC_DeleteSvc('Winjy00');
     BC_DeleteSvc('Winkd10');
     BC_DeleteSvc('Winlj55');
     BC_DeleteSvc('Winmc16');
     BC_DeleteSvc('Winmf88');
     BC_DeleteSvc('Winmh06');
     BC_DeleteSvc('Winmq12');
     BC_DeleteSvc('Winmq28');
     BC_DeleteSvc('Winmr71');
     BC_DeleteSvc('Winmw33');
     BC_DeleteSvc('Winop06');
     BC_DeleteSvc('Winnc75');
     BC_DeleteSvc('Winng77');
     BC_DeleteSvc('Winnk57');
     BC_DeleteSvc('Winnu47');
     BC_DeleteSvc('Winoq31');
     BC_DeleteSvc('Winor00');
     BC_DeleteSvc('Winpb00');
     BC_DeleteSvc('Winpf88');
     BC_DeleteSvc('Winpm53');
     BC_DeleteSvc('Winqg18');
     BC_DeleteSvc('Winqk31');
     BC_DeleteSvc('Winre84');
     BC_DeleteSvc('Winrf64');
     BC_DeleteSvc('Winrg46');
     BC_DeleteSvc('Winri18');
     BC_DeleteSvc('Winrk15');
     BC_DeleteSvc('Winry20');
     BC_DeleteSvc('Winse17');
     BC_DeleteSvc('Winsp64');
     BC_DeleteSvc('Winsr62');
     BC_DeleteSvc('Wintb42');
     BC_DeleteSvc('Wintb75');
     BC_DeleteSvc('Winti07');
     BC_DeleteSvc('Wintm25');
     BC_DeleteSvc('Winuc00');
     BC_DeleteSvc('Winuo07');
     BC_DeleteSvc('Winus82');
     BC_DeleteSvc('Winuw06');
     BC_DeleteSvc('Winvf33');
     BC_DeleteSvc('Winvo76');
     BC_DeleteSvc('Winvr07');
     BC_DeleteSvc('Winwf05');
     BC_DeleteSvc('Winwt11');
     BC_DeleteSvc('Winxb44');
     BC_DeleteSvc('Winxq18');
     BC_DeleteSvc('Winxq86');
     BC_DeleteSvc('Winym62');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     BC_DeleteSvc('WZCSVCThemesDhcp');
     BC_DeleteSvc('WZCSVCRpcSsEventlogEhttpSrv');
     BC_DeleteSvc('WZCSVCRpcSsEventlog');
     BC_DeleteSvc('wuauservSwPrv');
     BC_DeleteSvc('wuauservScheduleTlntSvr');
     BC_DeleteSvc('wscsvcScheduleTlntSvr');
     BC_DeleteSvc('WmiNVSvc');
     BC_DeleteSvc('Wmiekrn');
     BC_DeleteSvc('WmiApSrvwscsvcThemes');
     BC_DeleteSvc('WmiApSrvwscsvc');
     BC_DeleteSvc('WmiApSrvCryptSvc');
     BC_DeleteSvc('WmdmPmSNNetDDEdsdm');
     BC_DeleteSvc('WmdmPmSNBITS');
     BC_DeleteSvc('winmgmtaspnet_stateFontCache3.0.0.0');
     BC_DeleteSvc('WebClientNetmanNetmanWZCSVCProtectedStorageUlepacckbdw');
     BC_DeleteSvc('VSSSSDPSRV');
     BC_DeleteSvc('VSSShellHWDetection');
     BC_DeleteSvc('UPSVSSSSDPSRV');
     BC_DeleteSvc('UPSRemoteAccess');
     BC_DeleteSvc('upnphostSpooleraspnet_stateFontCache3.0.0.0lanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
     BC_DeleteSvc('upnphostSpooleraspnet_stateFontCache3.0.0.0');
     BC_DeleteSvc('upnphostSpooler');
     BC_DeleteSvc('Ulepacckbdw');
     BC_DeleteSvc('TTFixerServiceCiSvc');
     BC_DeleteSvc('TrkWksFastUserSwitchingCompatibility');
     BC_DeleteSvc('ThemesRpcLocatorThemesRpcLocatorRpcLocator');
     BC_DeleteSvc('ThemesRpcLocatorSSDPSRVwuauserv');
     BC_DeleteSvc('ThemesRpcLocatorSSDPSRV');
     BC_DeleteSvc('ThemesRpcLocatorRpcLocatorClipSrvlanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
     BC_DeleteSvc('ThemesRpcLocatorRpcLocator');
     BC_DeleteSvc('ThemesRpcLocatorRasAutoMSIServerThemesCiSvcNetDDEdsdmidsvc');
     BC_DeleteSvc('ThemesRpcLocatorRasAutoMSIServerThemes');
     BC_DeleteSvc('ThemesRpcLocator');
     BC_DeleteSvc('ThemesDhcp');
     BC_DeleteSvc('TapiSrvNetDDE');
     BC_DeleteSvc('SysmonLogDcomLaunchAudioSrv');
     BC_DeleteSvc('SysmonLogDcomLaunch');
     BC_DeleteSvc('StarWindServiceAEW32Time');
     BC_DeleteSvc('SSDPSRVVSS');
     BC_DeleteSvc('SSDPSRVEhttpSrv');
     BC_DeleteSvc('SpoolerThemesRpcLocatorRemoteAccessdmadminClipSrvWmiApSrvwscsvcSCardSvrNetmanWZCSVC');
     BC_DeleteSvc('SpoolerThemesRpcLocatorRemoteAccessdmadminClipSrvWmiApSrvwscsvcSCardSvr');
     BC_DeleteSvc('SpoolerThemesRpcLocatorRemoteAccess');
     BC_DeleteSvc('SpoolerThemesRpcLocator');
     BC_DeleteSvc('SpoolerThemesRpcLocatorNVSvc');
     BC_DeleteSvc('SharedAccessPolicyAgentTrkWksProtectedStorageBrowser');
     BC_DeleteSvc('SharedAccessPolicyAgentTrkWksProtectedStorage');
     BC_DeleteSvc('SharedAccessPolicyAgentNetmanupnphostSpooleraspnet_stateFontCache3.0.0.0RSVP');
     BC_DeleteSvc('SharedAccessPolicyAgentNetmanupnphostSpooleraspnet_stateFontCache3.0.0.0');
     BC_DeleteSvc('SharedAccessPolicyAgentNetmanBrowseraspnet_stateekrn');
     BC_DeleteSvc('SharedAccessPolicyAgentNetman');
     BC_DeleteSvc('seclogonScheduleTlntSvr');
     BC_DeleteSvc('seclogonMessengerHTTPFilter');
     BC_DeleteSvc('ScheduleTlntSvr');
     BC_DeleteSvc('SamSsClipSrvEventlogProtectedStorageStarWindServiceAESpoolerThemesRpcLocatorNVSvc');
     BC_DeleteSvc('SamSsClipSrvEventlogProtectedStorageStarWindServiceAE');
     BC_DeleteSvc('RpcSsTermServicewuauservSwPrv');
     BC_DeleteSvc('RpcSsTermServiceTTFixerServiceSharedAccessPolicyAgentTrkWksProtectedStorage');
     BC_DeleteSvc('RpcSsTermServiceTTFixerService');
     BC_DeleteSvc('RpcSsTermService');
     BC_DeleteSvc('RpcSsEventlogWMPNetworkSvc');
     BC_DeleteSvc('RpcSsEventlog');
     BC_DeleteSvc('RpcLocatorRemoteAccessNtLmSspALGCiSvcTlntSvr');
     BC_DeleteSvc('RemoteAccessTrkWksFastUserSwitchingCompatibility');
     BC_DeleteSvc('RemoteAccessNtLmSspALGCiSvc');
     BC_DeleteSvc('RemoteAccessNtLmSsp');
     BC_DeleteSvc('RDSessMgrWudfSvc');
     BC_DeleteSvc('RasManDhcpWmdmPmSNBITS');
     BC_DeleteSvc('RasAutoPolicyAgent');
     BC_DeleteSvc('RasAutoMSIServerThemes');
     BC_DeleteSvc('ProtectedStorageUlepacckbdwTTFixerService');
     BC_DeleteSvc('ProtectedStorageUlepacckbdw');
     BC_DeleteSvc('ProtectedStorageTlntSvr');
     BC_DeleteSvc('PolicyAgentMSIServerThemes');
     BC_DeleteSvc('NVSvcwscsvcseclogon');
     BC_DeleteSvc('NVSvcRemoteAccessNtLmSsp');
     BC_DeleteSvc('NetmanWZCSVC');
     BC_DeleteSvc('NetmanNetmanWZCSVCProtectedStorageUlepacckbdw');
     BC_DeleteSvc('NetmanNetmanWZCSVCdmadminClipSrvWmiApSrvwscsvc');
     BC_DeleteSvc('NetmanNetmanWZCSVC');
     BC_DeleteSvc('NetDDEdsdmidsvcNetmanNetmanWZCSVC');
     BC_DeleteSvc('NetDDEdsdmidsvc');
     BC_DeleteSvc('NetDDECOMSysApp');
     BC_DeleteSvc('NetDDECiSvcNetDDEdsdmidsvc');
     BC_DeleteSvc('MSIServerWMPNetworkSvc');
     BC_DeleteSvc('MSIServerThemes');
     BC_DeleteSvc('MSDTCAdobeHTTPFilter');
     BC_DeleteSvc('MessengerHTTPFilter');
     BC_DeleteSvc('LmHostsERSvcThemesRpcLocatorRpcLocator');
     BC_DeleteSvc('lanmanserverTrkWks');
     BC_DeleteSvc('lanmanserverScheduleTlntSvrxmlprov');
     BC_DeleteSvc('lanmanserverScheduleTlntSvrwscsvcScheduleTlntSvrhelpsvc');
     BC_DeleteSvc('lanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
     BC_DeleteSvc('lanmanserverScheduleTlntSvr');
     BC_DeleteSvc('lanmanserverMessengerHTTPFilter');
     BC_DeleteSvc('HTTPFilterRasAutoMSIServerThemes');
     BC_DeleteSvc('EventSystemERSvcdmadminClipSrvWmiApSrvwscsvc');
     BC_DeleteSvc('EventSystemERSvc');
     BC_DeleteSvc('EventlogProtectedStorageupnphost');
     BC_DeleteSvc('EventlogProtectedStorage');
     BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphostERSvcThemesRpcLocatorRpcLocatorupnphostRDSessMgr');
     BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphostDcomLaunch');
     BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphost');
     BC_DeleteSvc('EhttpSrvRemoteAccess');
     BC_DeleteSvc('DnscacheWmiekrn');
     BC_DeleteSvc('dmserverWMPNetworkSvcNetDDECOMSysApp');
     BC_DeleteSvc('dmserverWmdmPmSNBITS');
     BC_DeleteSvc('dmadminClipSrvWmiApSrvwscsvcSCardSvr');
     BC_DeleteSvc('dmadminClipSrvWmiApSrvwscsvc');
     BC_DeleteSvc('DhcpWmdmPmSNBITSWZCSVCThemesDhcp');
     BC_DeleteSvc('DhcpWmdmPmSNBITS');
     BC_DeleteSvc('DcomLaunchNVSvcwscsvc');
     BC_DeleteSvc('COMSysAppALGTTFixerServiceWebClientSpoolerThemesRpcLocatorNVSvc');
     BC_DeleteSvc('COMSysAppALGTTFixerServiceThemesRpcLocatorRpcLocator');
     BC_DeleteSvc('COMSysAppALGTTFixerServicelanmanworkstation');
     BC_DeleteSvc('COMSysAppALGTTFixerService');
     BC_DeleteSvc('ClipSrvWmiApSrvwscsvc');
     BC_DeleteSvc('ClipSrvMSDTC');
     BC_DeleteSvc('ClipSrvlanmanserverScheduleTlntSvrwscsvcScheduleTlntSvr');
     BC_DeleteSvc('ClipSrvlanmanserverScheduleTlntSvrwscsvcScheduleTlntSvrALGCiSvcaspnet_stateFontCache3.0.0.0');
     BC_DeleteSvc('ClipSrvEventlogProtectedStorageWMPNetworkSvc');
     BC_DeleteSvc('ClipSrvEventlogProtectedStorageStarWindServiceAE');
     BC_DeleteSvc('ClipSrvEventlogProtectedStorageSpooler');
     BC_DeleteSvc('ClipSrvEventlogProtectedStorage');
     BC_DeleteSvc('CiSvcAppMgmt');
     BC_DeleteSvc('CachemanXPServiceSpoolerThemesRpcLocatorRemoteAccess');
     BC_DeleteSvc('BrowserRpcSsEventlog');
     BC_DeleteSvc('Browseraspnet_stateekrn');
     BC_DeleteSvc('Browseraspnet_state');
     BC_DeleteSvc('AudioSrvHTTPFilterRasAutoMSIServerThemesRemoteAccessMSIServerThemes');
     BC_DeleteSvc('AudioSrvEhttpSrvALG');
     BC_DeleteSvc('AudioSrvEhttpSrv');
     BC_DeleteSvc('aspnet_stateFontCache3.0.0.0');
     BC_DeleteSvc('ALGTTFixerService');
     BC_DeleteSvc('ALGCiSvcwinmgmt');
     BC_DeleteSvc('ALGCiSvcRpcLocator');
     BC_DeleteSvc('ALGCiSvcaspnet_stateFontCache3.0.0.0');
     BC_DeleteSvc('ALGCiSvc');
     BC_DeleteSvc('AlerterTTFixerServiceCiSvcThemesRpcLocatorRasAutoMSIServerThemesCiSvcNetDDEdsdmidsvc');
     BC_DeleteSvc('AlerterTTFixerServiceCiSvc');
     BC_DeleteSvc('AdobeHTTPFilter');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winac18.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winad88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winau52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winau67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbf75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbm86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbx06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincf64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winco77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincw86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windc54.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windl44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windm22.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winds55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineb63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winei52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winen86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineq17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winey20.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfc66.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winff42.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfj50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfo33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfo37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfw28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingd17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingf88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingg18.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winha05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhe41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhl21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winht42.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winib75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winik25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjc55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjs30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjy00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkd10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winko30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlj55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlo22.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmf88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmh06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmq12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmr71.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmw33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnc75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnk57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnu47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winop06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winoq31.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winor00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winov47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpb00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpf88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpm53.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqg18.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqk31.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqq07.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrc33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrc45.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winre84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrf64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrg46.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winri18.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrk15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winry20.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winse17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsh07.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsp64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsr62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintb42.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintb75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winti07.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintm25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintm40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintq08.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintq11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuc00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvf33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winus82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuw06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvo76.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwt11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxb44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyh81.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winym62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyv01.sys');
     
     DeleteFile('karina.dat');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ....
    Последний раз редактировалось V_Bond; 07.09.2008 в 11:13.

  4. #3
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Re

    При выполнении скрипта AVZ грохнул что-то, но в списке служб при автозапуске эти буритосы остались, хоть и отключенные. Но комп работает намного быстрее.
    А что мне делать с антивирусом? Я теперь при запуске AVZ его вырубил.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 07.09.2008 в 14:29.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт .......
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winww42');
     BC_DeleteSvc('Winvw63');
     BC_DeleteSvc('Winil30');
     BC_DeleteSvc('Winfb11');
     BC_DeleteSvc('Windv74');
     BC_DeleteSvc('Winbc77');
     BC_DeleteSvc('WMPNetworkSvcNetDDECOMSysApp');
     BC_DeleteSvc('SharedAccessPolicyAgentTrkWks');
     BC_DeleteSvc('SharedAccessPolicyAgent');
     BC_DeleteSvc('SCardSvrstisvcThemesRpcLocatorRpcLocator');
     BC_DeleteSvc('SCardSvrstisvc');
     BC_DeleteSvc('RpcLocatorTermService');
     BC_DeleteSvc('RpcLocatorRemoteAccessNtLmSspALGCiSvc');
     BC_DeleteSvc('RemoteAccessMSIServerThemes');
     BC_DeleteSvc('NVSvcwscsvc');
     BC_DeleteSvc('NetmanALGCiSvc');
     BC_DeleteSvc('lanmanserverScheduleTlntSvrSpooler');
     BC_DeleteSvc('FastUserSwitchingCompatibilityWmiApSrvwscsvc');
     BC_DeleteSvc('EventlogProtectedStorageWmiNVSvc');
     BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocatorupnphostRDSessMgr');
     BC_DeleteSvc('ERSvcThemesRpcLocatorRpcLocator');
     BC_DeleteSvc('COMSysAppBITS');
     BC_DeleteSvc('DhcpImapiService');
     BC_DeleteSvc('dmadminNetDDE');
     BC_DeleteSvc('COMSysAppALGTTFixerServiceWebClient');
     BC_DeleteSvc('COMSysAppALGTTFixerServicelanmanworkstationSharedAccessPolicyAgentTrkWksProtectedStorage');
     BC_DeleteSvc('CiSvcNetDDEdsdmidsvc');
     BC_DeleteSvc('CiSvcAppMgmtImapiService');
     BC_DeleteSvc('ALGCiSvcwinmgmtLmHosts');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbc77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windv74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfb11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winil30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvw63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winww42.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать полный комплект логов ....

  6. #5
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57
    Там ещё один лог есть, кроме описанных в правилах - virusinfo_cure.zip. Его не надо добавлять?
    это - карантин. Его нужно закачать по правилам
    Вот логи:

    Что делать с НОДом?
    И диском с КИС 7.0 :-)
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 07.09.2008 в 15:22.

  7. #6
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Не въехал

    Немного не понял - его надо вам закачать как-то или не трогать?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
     DeleteService('AudioSrvHTTPFilterRasAutoMSIServerThemes');
     DeleteService('DhcpWmdmPmSNBITSNVSvc');
     DeleteService('WmdmPmSNWmiApSrv');
     DeleteService('NetmanWZCSVCSharedAccessPolicyAgentNetmanBrowseraspnet_stateekrn');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('AudioSrvHTTPFilterRasAutoMSIServerThemes');
     BC_DeleteSvc('DhcpWmdmPmSNBITSNVSvc');
     BC_DeleteSvc('WmdmPmSNWmiApSrv');
     BC_DeleteSvc('NetmanWZCSVCSharedAccessPolicyAgentNetmanBrowseraspnet_stateekrn');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Сделал

    Карантин отправил.
    Логи:
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    Какие еще проблемы?

  11. #10
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Сделал

    Пофиксил.
    Внешних проявлений каких-либо проблем не видно, но в списке служб по-прежнему присутствуют, хоть и отключенные, буритос и бравиакс.
    И каким антивирусом пользоваться?
    Пусть стоит дальше НОД, или поробовать опять установить лицензионный КИС?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    АВЗ, Сервис/Диспетчер служб и процессов.. Сделайте по очереди лог служб (все) и лог процессов (все). Логи - в студию.
    Насчет антивируса - как хотите.

  13. #12
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Как?

    Как сделать лог?
    Сохранить протокол?

    Насчёт антивируса - что Вы рекомендуете?
    А то НОД со скачанным ключом, а КИС умер, не родившись...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Аминазин Посмотреть сообщение
    Как сделать лог?
    Сохранить протокол?
    Да, И в службах и в процессах есть иконка с дискеттой.
    Цитата Сообщение от Аминазин Посмотреть сообщение
    Насчёт антивируса - что Вы рекомендуете?
    Ничего - как Вам больше нравится...

  15. #14
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Сделал

    Логи сделал, но их не хочет загружать. Надо заархивировать, что ли?

    Насчёт антивируса - мне АВЗ понравился :-)

  16. #15
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Получилось

    Мои документы.zip

    Заархивировал, отправил.

  17. #16
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57

    Ау

    Народ, обо мне никто не забыл?
    А то я не знаю, чё делать...

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего там не присутствует ....

  19. #18
    Junior Member Репутация
    Регистрация
    07.09.2008
    Адрес
    Ужгород
    Сообщений
    37
    Вес репутации
    57
    То есть, наличие "буритос" и "бравиакс" в списке служб - это остатки какие-то?
    Не обессудьте, я всего лишь доктор и не всё понимаю.

    Комп работает как бешенный, всё пучком. Спасибо, ребята, будут какие-то веб-мани - обязательно вам перечислю! У вас очень актуальный портал!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Аминазин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Все тот-же braviax/buritos
      От Hell'hound в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:57
    2. Подхватил buritos, braviax, carina, xpsecurity
      От ed26 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:50
    3. Braviax и Buritos
      От SlimXoXoL в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.09.2008, 10:48
    4. braviax.exe buritos.exe
      От ficus48 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.09.2008, 16:31
    5. braviax.exe buritos.exe и все все все -)
      От shoosha в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.09.2008, 13:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00257 seconds with 18 queries