Показано с 1 по 20 из 20.

Тоже WinAntispyware2008 (заявка № 30351)

  1. #1
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31

    Тоже WinAntispyware2008

    Синий или белый экран с предупреждение, перезагрузка как я понял при бездействии. Отсутствие в трее значков "сетевое подключение" и "подключена флэшка или т.п. устройство". И постоянно выскакивае сообщение (см. скрин)

    Правда сегодня окно с предупреждение на рабочем столе исчезло само, но все остальное осталось.

    Логов от AVZ нету - запустить не удалось.
    Изображения Изображения
    • Тип файла: png skrin.png (6.2 Кб, 15 просмотров)
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  4. #3
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Во время сканирования после требуемой перезагрузки выскакивало окно "Отправть информацию об ошибки в Микрософт (вроде)" которое после закрытия тут же снова выскакивало. Помогло только полное выключение копма и запуск по новой.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте C:\WINDOWS\system32\Drivers\Winps02.sys - force delete
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\upuphnm.dll','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\karina.dat','');
     BC_DeleteSvc('Winyc68');
     BC_DeleteSvc('Winyc35');
     BC_DeleteSvc('Winyc03');
     BC_DeleteSvc('Winxa58');
     BC_DeleteSvc('Winwa70');
     BC_DeleteSvc('Winwa58');
     BC_DeleteSvc('Winwa03');
     BC_DeleteSvc('Winvy14');
     BC_DeleteSvc('Winvy03');
     BC_DeleteSvc('Winva58');
     BC_DeleteSvc('Winuy47');
     BC_DeleteSvc('Winux70');
     BC_DeleteSvc('Winux60');
     BC_DeleteSvc('Winux58');
     BC_DeleteSvc('Winru47');
     BC_DeleteSvc('Winru03');
     BC_DeleteSvc('Winqt71');
     BC_DeleteSvc('Winqt35');
     BC_DeleteSvc('Winpt14');
     BC_DeleteSvc('Winps47');
     BC_DeleteSvc('Winps36');
     BC_DeleteSvc('Winps14');
     BC_DeleteSvc('Winnq70');
     BC_DeleteSvc('Winmp24');
     BC_DeleteSvc('Winlo57');
     BC_DeleteSvc('Winkn70');
     BC_DeleteSvc('Winkn58');
     BC_DeleteSvc('Winkn57');
     BC_DeleteSvc('Winhk46');
     BC_DeleteSvc('Winhk14');
     BC_DeleteSvc('Winfj58');
     BC_DeleteSvc('Winfi58');
     BC_DeleteSvc('Winfi14');
     BC_DeleteSvc('Wineh68');
     BC_DeleteSvc('Wineh36');
     BC_DeleteSvc('Windg25');
     BC_DeleteSvc('Windg03');
     BC_DeleteSvc('Wincf70');
     BC_DeleteSvc('Winbf03');
     BC_DeleteSvc('Winbe36');
     BC_DeleteSvc('Winbe14');
     BC_DeleteSvc('Winae03');
     BC_DeleteSvc('Winad57');
     BC_DeleteSvc('Winad24');
     BC_DeleteSvc('Winps02');
     BC_DeleteSvc('WZCSVCRasManNetDDEdsdm');
     BC_DeleteSvc('WmiWmiApSrvSENSCryptSvcLmHosts Smart');
     BC_DeleteSvc('WmiWmiApSrvSENSCryptSvcLmHosts');
     BC_DeleteSvc('WmiUPSMONServiceDnscache');
     BC_DeleteSvc('WmiTlntSvr');
     BC_DeleteSvc('WmiSENSCryptSvcLmHostsHidServseclogon');
     BC_DeleteSvc('WmiSENSCryptSvcLmHosts');
     BC_DeleteSvc('WmiApSrvseclogonWmiApSrv');
     BC_DeleteSvc('Wmi Smart');
     BC_DeleteSvc('W32TimeRpcSsAudioSrvSysmonLogRpcSsRSVP');
     BC_DeleteSvc('W32TimeRpcSsAppMgmt');
     BC_DeleteSvc('W32TimeRpcSs');
     BC_DeleteSvc('VSSRSVP');
     BC_DeleteSvc('UMWdfAlerterShellHWDetectionBrowserThemesSharedAccessInCDsrvRlanmanworkstation');
     BC_DeleteSvc('UMWdfAlerterShellHWDetection');
     BC_DeleteSvc('UMWdfAlerterNetDDE');
     BC_DeleteSvc('UMWdfAlerter');
     BC_DeleteSvc('TrkWksRemoteAccessaspnet_stateNetDDEdsdmwinmgmtCiSvc');
     BC_DeleteSvc('TrkWksRemoteAccessaspnet_state');
     BC_DeleteSvc('ThemesMessenger');
     BC_DeleteSvc('ThemesALGNetmandmserverNtmsSvcClipSrvAlerter');
     BC_DeleteSvc('ThemesALGNetmandmserverNtmsSvc');
     BC_DeleteSvc('Themes Licensing Service');
     BC_DeleteSvc('TermServicewscsvc');
     BC_DeleteSvc('TapiSrvSENSCryptSvclanmanserverLmHosts');
     BC_DeleteSvc('stisvcALGNetman LM Service');
     BC_DeleteSvc('stisvcALGNetman');
     BC_DeleteSvc('srserviceWmiATIRemoteAccessaspnet_state');
     BC_DeleteSvc('srserviceWmi');
     BC_DeleteSvc('srservicehelpsvcLightScribeService');
     BC_DeleteSvc('SpoolerRSVPdmadminSamSs');
     BC_DeleteSvc('Spooler Smart');
     BC_DeleteSvc('ShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('ShellHWDetectionwuauservRemoteRegistry');
     BC_DeleteSvc('ShellHWDetectionwuauserv');
     BC_DeleteSvc('ShellHWDetectionTapiSrv');
     BC_DeleteSvc('ShellHWDetection Licensing Service');
     BC_DeleteSvc('SENSShellHWDetectionwuauserv');
     BC_DeleteSvc('SENSCryptSvcSharedAccess');
     BC_DeleteSvc('SENSCryptSvcLmHostsATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('SENSCryptSvcLmHosts');
     BC_DeleteSvc('SENSCryptSvclanmanserverWmiWmiApSrvSENSCryptSvcLmHosts');
     BC_DeleteSvc('SENSCryptSvclanmanserverLmHosts');
     BC_DeleteSvc('SENSCryptSvclanmanserver');
     BC_DeleteSvc('SENSCryptSvc');
     BC_DeleteSvc('seclogonWmiApSrv');
     BC_DeleteSvc('SchedulelanmanserverRasManRasAutomnmsrvc');
     BC_DeleteSvc('RSVPdmadminSamSs');
     BC_DeleteSvc('RSVPdmadminCiSvc');
     BC_DeleteSvc('RSVPdmadmin');
     BC_DeleteSvc('RpcSsRSVPBrowserThemesSharedAccessInCDsrvRlanmanworkstation');
     BC_DeleteSvc('RpcSsRSVPAudioSrvRasMan');
     BC_DeleteSvc('RpcSsRSVP');
     BC_DeleteSvc('RpcLocatorNetDDEdsdmInCDsrvRlanmanworkstation');
     BC_DeleteSvc('RpcLocatorlanmanserverRDSessMgr');
     BC_DeleteSvc('RpcLocatordmserverMSSQLServerADHelperdmadmin');
     BC_DeleteSvc('RpcLocatordmserverMSSQLServerADHelper');
     BC_DeleteSvc('RpcLocatordmserver');
     BC_DeleteSvc('RemoteRegistryLightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('RemoteAccessaspnet_state');
     BC_DeleteSvc('RasManRasAutomnmsrvc');
     BC_DeleteSvc('RasManNetDDEdsdm');
     BC_DeleteSvc('RasMan LM Service');
     BC_DeleteSvc('MSSQLServerADHelperAudioSrvRemoteAccessaspnet_statesrservice');
     BC_DeleteSvc('MSSQLServerADHelperAudioSrvRemoteAccessaspnet_state');
     BC_DeleteSvc('MSSQLServerADHelperAudioSrv');
     BC_DeleteSvc('MSSQL$SONY_MEDIAMGRupnphost');
     BC_DeleteSvc('MSSQL$SONY_MEDIAMGRALGNetmanNtmsSvcBITS');
     BC_DeleteSvc('MessengerBITS');
     BC_DeleteSvc('LightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('lanmanworkstationRasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('lanmanserverRDSessMgrDnscacheEhttpSrv');
     BC_DeleteSvc('lanmanserverRDSessMgrDnscache');
     BC_DeleteSvc('lanmanserverRDSessMgr');
     BC_DeleteSvc('lanmanserverRasManRasAutomnmsrvc');
     BC_DeleteSvc('InCDsrvRRSVP');
     BC_DeleteSvc('InCDsrvRRasManNetDDEdsdm');
     BC_DeleteSvc('InCDsrvRlanmanworkstationLightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('InCDsrvRlanmanworkstation');
     BC_DeleteSvc('InCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('ImapiServiceUPSNOD32krn');
     BC_DeleteSvc('ImapiServiceUPSLmHostsRasAutomnmsrvcRSVPdmadminSamSs');
     BC_DeleteSvc('ImapiServiceUPSLmHosts');
     BC_DeleteSvc('ImapiServiceUPS');
     BC_DeleteSvc('HTTPFilterSENSCryptSvc');
     BC_DeleteSvc('HidServxmlprov');
     BC_DeleteSvc('HidServseclogonShellHWDetectionwuauservShellHWDetectionAlerterBrowserThemesTermService');
     BC_DeleteSvc('HidServseclogonShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('HidServseclogon');
     BC_DeleteSvc('HidServNtmsSvc');
     BC_DeleteSvc('HidServ Smart');
     BC_DeleteSvc('HidServ HotKey Poller');
     BC_DeleteSvc('helpsvcLightScribeServiceBrowserUMWdfAlerterRasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('helpsvcLightScribeServiceBrowserUMWdf');
     BC_DeleteSvc('helpsvcLightScribeService');
     BC_DeleteSvc('helpsvcALGPolicyAgent');
     BC_DeleteSvc('FLEXnetLightScribeService');
     BC_DeleteSvc('FastUserSwitchingCompatibilityLmHostsProtectedStorageDnscacheRSVPdmadminClipSrv');
     BC_DeleteSvc('FastUserSwitchingCompatibilityLmHosts');
     BC_DeleteSvc('EventSystemdmserverNtmsSvcSchedule');
     BC_DeleteSvc('DnscacheWmiApSrvHidServdmserverNtmsSvcSchedule');
     BC_DeleteSvc('DnscacheWmiApSrvHidServ');
     BC_DeleteSvc('DnscacheWmiApSrvBITSEventlog');
     BC_DeleteSvc('DnscacheWmiApSrv');
     BC_DeleteSvc('DnscacheRSVPdmadmin');
     BC_DeleteSvc('dmserverShellHWDetectionwuauservShellHWDetectionHidServseclogon');
     BC_DeleteSvc('dmserverShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('dmserverNtmsSvcSchedule');
     BC_DeleteSvc('dmserverNtmsSvc');
     BC_DeleteSvc('dmserverHTTPFilter');
     BC_DeleteSvc('dmadminNetDDEPlugPlay');
     BC_DeleteSvc('DcomLaunchRemoteAccess');
     BC_DeleteSvc('CryptSvcdmadminupnphost');
     BC_DeleteSvc('CryptSvcdmadmin');
     BC_DeleteSvc('clr_optimization_v2.0.50727_32RasManRasAutomnmsrvc');
     BC_DeleteSvc('ClipSrvAlerter');
     BC_DeleteSvc('BrowserUMWdf');
     BC_DeleteSvc('BrowserThemesSharedAccessInCDsrvRlanmanworkstation');
     BC_DeleteSvc('BrowserThemesSharedAccess');
     BC_DeleteSvc('BrowserThemes');
     BC_DeleteSvc('BrowserRasAutoTermServicewscsvc');
     BC_DeleteSvc('BrowserRasAuto');
     BC_DeleteSvc('BITSEventlog');
     BC_DeleteSvc('AudioSrvSysmonLog');
     BC_DeleteSvc('AudioSrvRasManWmiApSrv');
     BC_DeleteSvc('ATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('ATIRemoteAccessaspnet_state');
     BC_DeleteSvc('AtiALG');
     BC_DeleteSvc('AppMgmtRSVPdmadminCiSvc');
     BC_DeleteSvc('AppMgmt Smart');
     BC_DeleteSvc('ALGRpcLocator');
     BC_DeleteSvc('ALGPolicyAgent');
     BC_DeleteSvc('ALGNetmanNtmsSvcBITS');
     BC_DeleteSvc('ALGNetmandmserverNtmsSvcHTTPFilter');
     BC_DeleteSvc('ALGNetmandmserverNtmsSvc');
     BC_DeleteSvc('ALGNetman');
     BC_DeleteSvc('AlerterRemoteAccess');
     BC_DeleteSvc('AlerterRasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('AlerterDnscacheWmiApSrvBITSEventloglanmanserverRasManRasAutomnmsrvc');
     BC_DeleteSvc('AlerterDnscacheWmiApSrvBITSEventlog');
     BC_DeleteSvc('AlerterBrowserThemesTermServiceLightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('AlerterBrowserThemesTermServiceHidServseclogonShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('AlerterBrowserThemesTermService');
     BC_DeleteSvc('AlerterBrowserThemes');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winps02.sys','');
     TerminateProcessByName('c:\windows\system32\buritos.exe');
     QuarantineFile('c:\windows\system32\buritos.exe','');
     DeleteFile('c:\windows\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winps02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winad24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winad57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winae03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbf03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincf70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windg03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windg25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh68.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfi14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfi58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfj58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhk14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhk46.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlo57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmp24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnq70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpt14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqt35.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqt71.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winru03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winru47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winux58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winux60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winux70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuy47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winva58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvy03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvy14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwa03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwa58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwa70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxa58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyc03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyc35.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyc68.sys');
     DeleteFile('C:\WINDOWS\karina.dat');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\system32\blphct30j0e175.scr');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\upuphnm.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Цитата Сообщение от V_Bond Посмотреть сообщение
    скачайте C:\WINDOWS\system32\Drivers\Winps02.sys - force delete
    В чём или через что выполнить?

    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт
    Я так понял в AVZ.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от GAN Посмотреть сообщение
    force delete
    В чём или через что выполнить?
    Вот здесь подробнее: http://virusinfo.info/showthread.php?t=17228

    А скрипт - в AVZ.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Всё по прежнему. Единственно что исчезло сообщение на скрине в 1-ом посте после установки Spyware Doctor.

    Обнаружил что в "Панели управления" пропал "WINDOWS Секюрити" - та менюшка где показывается включение/выключение автообновления, брендмаузера и антивируса. Исчезло скрытие неиспользующихся значков в трее у часов.

    Карантин послал:
    Файл сохранён как 080917_174743_virus_48d1890f780e4.zip
    Размер файла 183712
    MD5 d1e59c4dfca8aafef09bab78f84005a0



    P.S.
    А на сколько в таком случае может помочь переустановка системы?
    Вложения Вложения
    Последний раз редактировалось GAN; 18.09.2008 в 03:08.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Цитата Сообщение от GAN Посмотреть сообщение
    Всё по прежнему.
    Ну понятное дело, так как Вы сделали все неправильно.
    Цитата Сообщение от GAN Посмотреть сообщение
    Единственно что исчезло сообщение на скрине в 1-ом посте после установки Spyware Doctor.
    Ни какой Spyware Doctor устанавливать было не нужно! Деинсталлируйте его! Вам нужен IceSword.

    Подробнее здесь http://virusinfo.info/showthread.php?t=17228

    Если опять что-то не понятно, то нужно спросить!

    Добавлено через 2 минуты

    Базы AVZ не забудьте обновить!
    Последний раз редактировалось Синауридзе Александр; 18.09.2008 в 05:35. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Ни какой Spyware Doctor устанавливать было не нужно!
    Именно его предлагалось скачать перейдя по ссылке в 4ом посте данной темы.

    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Базы AVZ не забудьте обновить!
    Вчере данная функции в AVZ скаченного из 2ого поста была не активна. Сейчас удалось запустить "полноценный" AVZ предлагаемый вами и успешно обновить его базы.

    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Если опять что-то не понятно, то нужно спросить!
    Вы правы.

    Файл с помощью IceSword удалил, но предварительно сохранил его в отдельную папку. Что с ним делать?

    При выполнении скрипта через AVZ что должно быть выключенно или запущено:
    -востановление системы
    -Internet Explorer
    -интернет/локалка
    -антивирус
    ?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Цитата Сообщение от GAN Посмотреть сообщение
    Файл с помощью IceSword удалил, но предварительно сохранил его в отдельную папку. Что с ним делать?
    Пришлите карантин согласно приложению 2 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30351
    Цитата Сообщение от GAN Посмотреть сообщение
    При выполнении скрипта через AVZ что должно быть выключенно или запущено:
    -востановление системы
    -Internet Explorer
    -интернет/локалка
    -антивирус
    ?
    Internet Explorer закройте, а остальное отключите. Выполните скрипт V_Bond.

    Сделайте новые логи (только п.2 и 3 раздела Диагностика).

  12. #11
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Пришлите карантин согласно приложению 2 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30351
    В AVZ список карантина пуст. Этот файл у меня в отдельной папке, куда я его сохранил через IceSword.

    Изменений пока не заметил.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('karina.dat','');
     QuarantineFile('buritos.exe','');
     QuarantineFile('WinCtrl32.dll','');
     BC_DeleteSvc('WmiWmiApSrv');
     BC_DeleteSvc('W32TimeRpcSsAudioSrvSysmonLog');
     BC_DeleteSvc('UPSMONServiceDnscache');
     BC_DeleteSvc('ThemesMessengerInCDsrv');
     BC_DeleteSvc('ShellHWDetectionwuauservThemesALGNetmandmserverNtmsSvcClipSrvAlerter');
     BC_DeleteSvc('SENSCryptSvcATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('RemoteAccessaspnet_stateTapiSrv');
     BC_DeleteSvc('RasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('RasAutomnmsrvcRSVPdmadminSamSs');
     BC_DeleteSvc('RasAutomnmsrvcAudioSrv');
     BC_DeleteSvc('RasAutomnmsrvcALGNetmanNtmsSvcBITS');
     BC_DeleteSvc('RasAutomnmsrvc');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminSENSCryptSvcSharedAccess');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminClipSrvW32TimeRpcSs');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminClipSrv');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadmin');
     BC_DeleteSvc('PolicyAgentsrservice');
     BC_DeleteSvc('PolicyAgent LM Service');
     BC_DeleteSvc('PnkBstrASpooler');
     BC_DeleteSvc('PlugPlayBITSEventlog');
     BC_DeleteSvc('NtmsSvcUPSMONService');
     BC_DeleteSvc('NtmsSvcBITSEventSystem');
     BC_DeleteSvc('NtmsSvcBITS');
     BC_DeleteSvc('NtLmSspEventSystemSpooler');
     BC_DeleteSvc('NtLmSspEventSystem');
     BC_DeleteSvc('NlaUMWdfAlerterNetDDE');
     BC_DeleteSvc('NetlogonDhcpEventlogUMWdfAlerter');
     BC_DeleteSvc('NetlogonDhcpEventlog');
     BC_DeleteSvc('NetlogonDhcp');
     BC_DeleteSvc('NetDDERemoteAccessaspnet_state');
     BC_DeleteSvc('NetDDEPlugPlay');
     BC_DeleteSvc('NetDDEdsdmxmlprovNetDDEdsdm');
     BC_DeleteSvc('NetDDEdsdmwinmgmtCiSvc');
     BC_DeleteSvc('NetDDEdsdmwinmgmt');
     BC_DeleteSvc('NetDDEdsdmTermService');
     BC_DeleteSvc('NetDDEdsdmInCDsrvRlanmanworkstation Smart');
     BC_DeleteSvc('NetDDEdsdmInCDsrvRlanmanworkstation');
     BC_DeleteSvc('NetDDEdsdmAlerterBrowserThemesTermService');
     BC_DeleteSvc('AudioSrvRasMan');
     BC_DeleteSvc('AtiSQLAgent$SONY_MEDIAMGR');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('buritos.exe');
     DeleteFile('karina.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  14. #13
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Рабочий стол и Заставка появились.
    Карантин пуст.

    Большон спасибо.

    А что нужно было сделать с данной ссылкой програмой по ней?
    Цитата Сообщение от V_Bond Посмотреть сообщение
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    P.S.
    Появился "Веб-папки" в "Мой компьютер" которого там с роду не было.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пофиксить

    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Выполните в AVZ:

    Код:
    begin
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.
    Жалобы есть?

  17. #16
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Жалоб нет. Ещё раз большое спасибо.

    А насчёт востановления иконок в трее "сетевое подключеие", "подключена флэшка" и "WINDOWS Секюрити" в "Панели управления" (та менюшка где показывается включение/выключение автообновления, брендмаузера и антивируса) можно к вам обратится или это уже в невашей компетенции?

  18. #17

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Если метод V_Bond вдруг не сработает попробуйте так: http://virusinfo.info/showthread.php?t=20712 Та должны восстановиться иконки в трее. Нужно так же удостоверится, что напр. в стевых подключенияз включена опция Показывать в трее..
    Насчет WSC: У вас какой вид панели управления? Классический , ХР, меню... ?
    Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?

  20. #19
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если метод V_Bond вдруг не сработает попробуйте так: http://virusinfo.info/showthread.php?t=20712 Та должны восстановиться иконки в трее. Нужно так же удостоверится, что напр. в стевых подключенияз включена опция Показывать в трее..
    Сделал по обоим методам. Не помогло.
    В стевых подключенияз опция "Показывать в трее" включена.

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Насчет WSC: У вас какой вид панели управления? Классический , ХР, меню... ?
    Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
    В меню "Пуск" стоит "Класический вид".
    В "Панели управления" в меню "Вид" стоит "Значки". (Делал чтобы как и в Win95/98 отображалось).

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
    То что и хотел - Центр обеспечения безопастности.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,554
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\buritos.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323)


  • Уважаемый(ая) GAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 26.03.2012, 19:23
    2. Тоже Get Accelerator
      От tk2710 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2009, 00:49
    3. Ответов: 22
      Последнее сообщение: 22.02.2009, 08:04
    4. WinAntiSpyWare2008
      От Light71 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00015 seconds with 25 queries