Junior Member
Вес репутации
55
Нужна помащь
Здраствуйте такая проблема. На компе завелась какой-то зловред. После запуска системы проходит не которое время и становяться не доступны сетевые ресурсы. Заходиш на сервер папки отабражаются а файлов нет. Не запускаються mp3 файлы(выдаеться сообшение о проблеме с audio драйвером).
Вложения
Последний раз редактировалось Rene-gad; 16.03.2009 в 13:32 .
Причина: КАРАНТИН В ТЕМЕ 1-Е УСТНОЕ ПРЕДУПРЕЖДЕНИЕ
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Лог virusinfo_syscure.zip загрузите.
Отключите службу восстановления системы (см. Приложение 1 Правил).
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msvcrtd.exe');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\Temp\NOD2.tmp','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654');
QuarantineFile('tconn1.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Hkm60');
BC_DeleteSvc('ati0cfxx');
BC_DeleteSvc('ati0fhxx');
BC_DeleteSvc('ati0npxx');
BC_DeleteSvc('ati0vaxx');
BC_DeleteSvc('ati1loxx');
BC_DeleteSvc('ati1orxx');
BC_DeleteSvc('ati1twxx');
BC_DeleteSvc('ati2twxx');
BC_DeleteSvc('ati4cgxx');
BC_DeleteSvc('ati5cgxx');
BC_DeleteSvc('ati6xbxx');
BC_DeleteSvc('ati6xcxx');
BC_DeleteSvc('ati7xcxx');
BC_DeleteSvc('ati8gjxx');
BC_DeleteSvc('ati8ilxx');
BC_DeleteSvc('ati8nqxx');
BC_DeleteSvc('Gjm82');
BC_DeleteSvc('msupdate');
QuarantineFile('C:\WINDOWS\system32\Drivers\Gjm82.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Gjm82.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Junior Member
Вес репутации
55
Вложения
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('tcpsr');
StopService('smtpdrv');
StopService('Hkm60');
StopService('Gjm82');
StopService('ati8nqxx');
StopService('ati8ilxx');
StopService('ati8gjxx');
StopService('ati7xcxx');
StopService('ati6xcxx');
StopService('ati6xbxx');
StopService('ati5cgxx');
StopService('ati4cgxx');
StopService('ati2twxx');
StopService('ati1twxx');
StopService('ati1orxx');
StopService('ati1loxx');
StopService('ati0vaxx');
StopService('ati0npxx');
StopService('ati0cfxx');
QuarantineFile('tconn1.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hkm60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gjm82.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Gjm82.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8nqxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8ilxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8gjxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7xcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6xcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6xbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5cgxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4cgxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2twxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1twxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1orxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1loxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0vaxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0npxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0fhxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0cfxx.sys','');
DeleteService('tcpsr');
DeleteService('smtpdrv');
DeleteService('Hkm60');
DeleteService('Gjm82');
DeleteService('ati8nqxx');
DeleteService('ati8ilxx');
DeleteService('ati8gjxx');
DeleteService('ati7xcxx');
DeleteService('ati6xcxx');
DeleteService('ati6xbxx');
DeleteService('ati5cgxx');
DeleteService('ati4cgxx');
DeleteService('ati2twxx');
DeleteService('ati1twxx');
DeleteService('ati1orxx');
DeleteService('ati1loxx');
DeleteService('ati0vaxx');
DeleteService('ati0npxx');
DeleteService('ati0fhxx');
DeleteService('ati0cfxx');
DeleteFile('tconn1.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hkm60.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Gjm82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gjm82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8nqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8ilxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8gjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5cgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4cgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2twxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1twxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1orxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1loxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0vaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0npxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0fhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0cfxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Hkm60');
BC_DeleteSvc('Gjm82');
BC_DeleteSvc('ati8nqxx');
BC_DeleteSvc('ati8ilxx');
BC_DeleteSvc('ati8gjxx');
BC_DeleteSvc('ati7xcxx');
BC_DeleteSvc('ati6xcxx');
BC_DeleteSvc('ati6xbxx');
BC_DeleteSvc('ati5cgxx');
BC_DeleteSvc('ati4cgxx');
BC_DeleteSvc('ati2twxx');
BC_DeleteSvc('ati1twxx');
BC_DeleteSvc('ati1orxx');
BC_DeleteSvc('ati1loxx');
BC_DeleteSvc('ati0vaxx');
BC_DeleteSvc('ati0npxx');
BC_DeleteSvc('ati0fhxx');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
55
Новые логи. Подскажите где взять файл virusinfo_syscheck.zip у меня в пакпе с логами его нет.
Вложения
Сообщение от
Antaris
Новые логи. Подскажите где взять файл virusinfo_syscheck.zip у меня в пакпе с логами его нет.
Вы стандартный скрипт 2 выполняли?
Скачайте IceSword , поищите и удалите файл с помощью force delete:
Код:
C:\WINDOWS\system32\Drivers\Gjm82.sys
- Сделайте повторные логи
Junior Member
Вес репутации
55
Вложения
Сообщение от
Antaris
Новые LOG
-Пофиксите
Код:
O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
OpenOffice обновите, поставьте Сервис Пак 3 - может потребоваться повторная активация - и последующие патчи.
Junior Member
Вес репутации
55
Вложения
Сообщение от
Antaris
Сделал посмотрите
А где я Вас просил повторять логи?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 47 В ходе лечения вредоносные программы в карантинах не обнаружены