Это неубиваемый буритос замотал совсем. Не чего не могу сделать. Прошу помощи. ОС Windows XP (лицензия). За любую помощь заранее спасибо. Логи прилогаются.
Это неубиваемый буритос замотал совсем. Не чего не могу сделать. Прошу помощи. ОС Windows XP (лицензия). За любую помощь заранее спасибо. Логи прилогаются.
Логов не наблюдаю. Если не получается прикрепить к первому сообщению, создайте новое.
Спасибо. Пробую еще.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); DeleteService('Winek28'); DeleteService('Winfl53'); DeleteService('Wingn17'); DeleteService('Winho86'); DeleteService('Winiq20'); DeleteService('Winkr30'); DeleteService('Winkr31'); DeleteService('Winms07'); DeleteService('Winnu07'); DeleteService('Winpw86'); DeleteService('Winqx75'); DeleteService('Winta75'); DeleteService('Wintc64'); DeleteService('Winuc42'); DeleteService('Winvd07'); DeleteService('Winxf18'); DeleteService('Winck20'); QuarantineFile('C:\WINDOWS\System32\drivers\Winck20.sys',''); DeleteService('xmlprovThemes'); DeleteService('W32Timewuauserv'); DeleteService('SSDPSRVSRS_PostInstallerSRS_PostInstaller'); DeleteService('srserviceNOD32krn'); DeleteService('srserviceHTTPFilterAVP'); DeleteService('srserviceHTTPFilter'); DeleteService('SRS_PostInstallerSRS_PostInstaller'); DeleteService('ShellHWDetectionS24EventMonitor'); DeleteService('SENSRichVideo'); DeleteService('seclogonose'); DeleteService('SandraAgentSrvSCardSvrSwPrv'); DeleteService('SandraAgentSrvSCardSvr'); DeleteService('SamSsRemoteRegistry'); DeleteService('ProtectedStorageALG'); DeleteService('PlugPlayCOMSysAppsrservice'); DeleteService('PlugPlayCOMSysApp'); DeleteService('oseThemesWmiApSrv'); DeleteService('oseThemes'); DeleteService('NetTcpPortSharinghelpsvc'); DeleteService('NetDDEdsdmPlugPlayCOMSysApp'); DeleteService('napagent Service'); DeleteService('MessengerRemoteRegistry'); DeleteService('MessengerAutodeskFastUserSwitchingCompatibility'); DeleteService('idsvcNtmsSvc'); DeleteService('HidServAppMgmtTapiSrv'); DeleteService('HidServLmHosts'); DeleteService('HidServAppMgmtSENS'); DeleteService('HidServAppMgmtImapiService'); DeleteService('dmserverLmHosts'); DeleteService('dmserverHidServAppMgmtImapiService'); DeleteService('Dhcpdmadmin'); DeleteService('CryptSvcSpooler'); DeleteService('clr_optimization_v2.0.50727_32Dnscache'); DeleteService('CiSvcSwPrv'); DeleteService('BonjourCOMSysApp'); DeleteService('BITS Office Groove Audit Service'); DeleteService('AutodeskNetman'); DeleteService('AutodeskFastUserSwitchingCompatibilitySSDPSRVSRS_PostInstallerSRS_PostInstaller'); DeleteService('AutodeskFastUserSwitchingCompatibility'); DeleteService('AppMgmtNetman'); QuarantineFile('srv.exe',''); QuarantineFile('c:\windows\system32\buritos.exe',''); TerminateProcessByName('c:\windows\system32\buritos.exe'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Winck20.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winek28.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winfl53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfm42.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wingn17.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winho86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winip86.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winiq20.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winkr30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winkr31.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winms07.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winnu07.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winpw86.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winqx75.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winta75.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wintc64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuc42.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winvd07.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winxf18.sys'); DeleteFile('C:\WINDOWS\system32\karina.dat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
Скрипт выполнен. Карантин отправлен. Новые логи
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winvd53'); DeleteService('NetTcpPortSharing'); TerminateProcessByName('c:\windows\buritos.exe'); DeleteFile('c:\windows\buritos.exe'); DeleteFile('NetTcpPortSharing.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winvd53.sys'); DeleteFile('C:\WINDOWS\karina.dat'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скрипт выполнен. Новые логи.
Пофиксте в HijackThis следующие строки:
Повторите лог HijackThis после перезагрузки.O4 - HKLM\..\Run: [buritos] buritos.exe
O4 - HKCU\..\Run: [ICQ] KERNEL32.dll
O20 - AppInit_DLLs: karina.dat
Проблем больше нет?
Огромное спасибо V_Bond за терпеливое ведение и AndreyKa за грамотно поставленную точку. Логи чистые.Три дня плясок с бубнами позади. Спасибо за вашу работу. Что могли бы посоветовать для предотвращения подобного впредь?
Последний раз редактировалось AHT; 09.09.2008 в 18:51.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\buritos.exe - Hoax.Win32.Renos.vbbl (DrWEB: Trojan.Packed.612)
- c:\\windows\\system32\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739)
Уважаемый(ая) AHT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.