отчеты прилагаю
отчеты прилагаю
Последний раз редактировалось Artur Z.; 26.01.2009 в 13:30.
почему то не вставился один файл
Последний раз редактировалось Artur Z.; 26.01.2009 в 13:30.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); QuarantineFile('c:\windows\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('srv.exe',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\msvcrtd.exe',''); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\System32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('srv.exe'); DeleteFile('c:\windows\system32\msvcrtd.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winah07.sys'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winah07'); BC_DeleteSvc('WebClientSPIDERNT'); BC_DeleteSvc('TapiSrvSENS'); BC_DeleteSvc('Spoolerdmserverdmadmin'); BC_DeleteSvc('SCardSvrxmlprovRegSrvcNetDDE'); BC_DeleteSvc('SCardSvrxmlprovRegSrvc'); BC_DeleteSvc('SCardSvrxmlprov'); BC_DeleteSvc('RSVPCFSvcsERSvc'); BC_DeleteSvc('RSVPCFSvcs'); BC_DeleteSvc('RSVPALG'); BC_DeleteSvc('RpcSsmnmsrvc'); BC_DeleteSvc('RpcLocatorDnscacheRDSessMgr'); BC_DeleteSvc('ProtectedStorageDVD-RAM_ServiceWZCSVC'); BC_DeleteSvc('ProtectedStorageDVD-RAM_Service'); BC_DeleteSvc('NetlogonRasAuto'); BC_DeleteSvc('NetDDEMSIServer'); BC_DeleteSvc('msupdateHidServ'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('mnmsrvcRemoteAccess'); BC_DeleteSvc('MDMERSvc'); BC_DeleteSvc('gusvcThemesAppMgmt'); BC_DeleteSvc('gusvcThemes'); BC_DeleteSvc('DnscacheRDSessMgr'); BC_DeleteSvc('dmserverdmadminwinmgmt'); BC_DeleteSvc('dmserverdmadmin'); BC_DeleteSvc('dmadminRDSessMgr'); BC_DeleteSvc('Dhcpmnmsrvc'); BC_DeleteSvc('CryptSvcSSDPSRV'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36447
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Спасибо большое! подскажите пожалуйста, как вернуть права на запись в реестр в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - т.к. при попытке теперь установить Symantec Endpoint - не дает сделать запись. Видимо остатки вирусов?
А вы логи повторите Лечение ещё не закончилось
новые логи. карантин отправил
Последний раз редактировалось Artur Z.; 26.01.2009 в 13:30.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); clearquarantine; DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); SetServiceStart('VIDEO', 4); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteFile('c:\windows\system32\winhelp32.exe'); BC_DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); BC_ImportALL; BC_DeleteSvc('VIDEO'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36447
Повторите логи по правилам.
новые логи
Последний раз редактировалось Artur Z.; 26.01.2009 в 13:30.
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:O20 - AppInit_DLLs: vmmreg32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); clearquarantine; QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe',''); QuarantineFile('C:\WINDOWS\Temp\BN4.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\nvscv32.exe',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\iexplorer.exe'); DeleteFile('C:\WINDOWS\system32\drivers\nvscv32.exe'); DelBHO('{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36447
Повторите логи по правилам.
опять новые логи и карантин
Последний раз редактировалось Artur Z.; 26.01.2009 в 13:30.
В AVZ
Компутер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\Temp\BN4.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.uui (DrWEB: Trojan.DownLoad.4201)
- c:\\windows\\system32\\drivers\\nvscv32.exe - Worm.Win32.Fujack.aa (DrWEB: Win32.HLLP.Whboy)
- c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Agent.awbe (DrWEB: Trojan.DownLoad.2676
- c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.ljf (DrWEB: Trojan.Firestarter)
- c:\\windows\\system32\\vmmreg32.dll - Trojan-Spy.Win32.Agent.fta (DrWEB: Trojan.Firestarter)
- c:\\windows\\system32\\winhelp32.exe - Trojan-Spy.Win32.Agent.fta (DrWEB: Trojan.Firestarter)
- c:\\windows\\temp\\bn4.tmp - Trojan-Dropper.Win32.Agent.vow (DrWEB: Trojan.Rntm.6)
Уважаемый(ая) Artur Z., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.