help ^)
help ^)
Скачайте этот AVZ http://rapidshare.com/files/199106177/toto.pif
В скаченном AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('cvqpeo.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\tgs7f81.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\rkrc97b.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\nfnf0c3.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\nai1437.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\meldbaa.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\iph9e66.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\hth0a5e.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\gsg0a0d.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\fmea647.sys',''); QuarantineFile('C:\WINDOWS\system32\icf.exe.exe:ext.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ati0aexx.sys',''); DeleteService('ati0aexx'); DeleteService('ICF'); DeleteFile('C:\WINDOWS\system32\Drivers\ati0aexx.sys'); DeleteFile('C:\WINDOWS\system32\icf.exe.exe:ext.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0fjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0hlxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0xcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2quxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3gkxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4dhxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4swxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4txxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5jnxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5quxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6jnxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6swxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7nrxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7ptxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7txxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7xcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8hlxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8txxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8vaxx.sys'); DeleteFile('C:\WINDOWS\System32\drivers\fmea647.sys'); DeleteFile('C:\WINDOWS\System32\drivers\gsg0a0d.sys'); DeleteFile('C:\WINDOWS\System32\drivers\hob5030.sys'); DeleteFile('C:\WINDOWS\System32\drivers\hog22a6.sys'); DeleteFile('C:\WINDOWS\System32\drivers\hpcc572.sys'); DeleteFile('C:\WINDOWS\System32\drivers\iph9e66.sys'); DeleteFile('C:\WINDOWS\System32\drivers\meldbaa.sys'); DeleteFile('C:\WINDOWS\System32\drivers\nai1437.sys'); DeleteFile('C:\WINDOWS\System32\drivers\nfnf0c3.sys'); DeleteFile('C:\WINDOWS\System32\drivers\rkrc97b.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tgs7f81.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbf04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winin61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwc26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf72.sys'); DeleteFile('cvqpeo.dll'); BC_ImportAll; BC_DeleteSvc('ati0aexx'); BC_DeleteSvc('ICF'); BC_DeleteSvc('ati8vaxx'); BC_DeleteSvc('ati8txxx'); BC_DeleteSvc('ati8hlxx'); BC_DeleteSvc('ati7xcxx'); BC_DeleteSvc('ati7txxx'); BC_DeleteSvc('ati7ptxx'); BC_DeleteSvc('ati7nrxx'); BC_DeleteSvc('ati6swxx'); BC_DeleteSvc('ati6jnxx'); BC_DeleteSvc('ati5quxx'); BC_DeleteSvc('ati5jnxx'); BC_DeleteSvc('ati4txxx'); BC_DeleteSvc('ati4swxx'); BC_DeleteSvc('ati4dhxx'); BC_DeleteSvc('ati3gkxx'); BC_DeleteSvc('ati2quxx'); BC_DeleteSvc('ati0xcxx'); BC_DeleteSvc('ati0hlxx'); BC_DeleteSvc('ati0fjxx'); BC_DeleteSvc('Winyf72'); BC_DeleteSvc('Winye50'); BC_DeleteSvc('Winxd04'); BC_DeleteSvc('Winwc26'); BC_DeleteSvc('Winua48'); BC_DeleteSvc('Winsx04'); BC_DeleteSvc('Winrw04'); BC_DeleteSvc('Winqv72'); BC_DeleteSvc('Winqv61'); BC_DeleteSvc('Winns48'); BC_DeleteSvc('Winkp50'); BC_DeleteSvc('Winin61'); BC_DeleteSvc('Winhm61'); BC_DeleteSvc('Winhm48'); BC_DeleteSvc('Wingl50'); BC_DeleteSvc('Wingl15'); BC_DeleteSvc('Winfk72'); BC_DeleteSvc('Winfk50'); BC_DeleteSvc('Winej04'); BC_DeleteSvc('Windi48'); BC_DeleteSvc('Winbf04'); BC_DeleteSvc('tgs7f81'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('rkrc97b'); BC_DeleteSvc('hpcc572'); BC_DeleteSvc('hog22a6'); BC_DeleteSvc('hob5030'); BC_DeleteSvc('gsg0a0d'); BC_DeleteSvc('fmea647'); BC_DeleteSvc('nfnf0c3'); BC_DeleteSvc('nai1437'); BC_DeleteSvc('meldbaa'); BC_DeleteSvc('iph9e66'); BC_DeleteSvc('hth0a5e'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44486
Повторите логи.
Карантин пустой.
Логи прилагаю.
AVZ скачивали?? Нет ведь...
Скачать IceSword
-Запустите программу. Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл
-Нажмите по нему правой кнопкой мыши и выберите force delete.Код:C:\WINDOWS\system32\Drivers\ati0aexx.sys
-На запрос потверждения ответьте "да".
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati0aexx'); DeleteFile('C:\WINDOWS\system32\Drivers\ati0aexx.sys'); BC_ImportDeletedList; BC_DeleteSvc('ati0aexx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
AVZ скачивали?? Нет ведь...
------------------
Скачивал, но не по вашим ссылкам, в любом
случае извините.
Все программы скачал по ссылкам из правил по новой.
Файл удалил, скрипт выполнил.
Логи по новой сформировал.
в AVZ
Пришлите карантин.begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\lki270 e.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\lki270e.sy s');
DeleteFile('sfhlp0.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
Done
Superantispyware - удалите.
- Выполните скрипт
После перезагрузки:Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\ehaf86c.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\vitra.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Забыл добавить, что эта гадость постоянно сбрасывает подключение к интернету на бридже. А до начала лечения блокировала локальную сеть.
ПОЧЕМУ КАРАНТИН НЕ ЗАПАРОЛЕН????
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: cvqpeo - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('vitra'); DeleteFile('C:\WINDOWS\System32\drivers\vitra.sys'); DeleteFile('C:\WINDOWS\System32\drivers\ehaf86c.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('vitra'); BC_Activate; RebootWindows(true); end.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось Rene-gad; 29.04.2009 в 19:05. Причина: Добавлен fix
я дико извиняюсь, в приложении к правилам не написано что паролировать нужно
в чаво уже нашел, что написано
еще раз извините ...
Done
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ehaf86c.sys - Rootkit.Win32.Agent.irp ( DrWEB: Trojan.NtRootKit.2881, BitDefender: Rootkit.Otlard.A )
- c:\windows\system32\drivers\lki270e.sys - Rootkit.Win32.Agent.irp ( DrWEB: Trojan.NtRootKit.2881, BitDefender: Rootkit.Otlard.A )
Уважаемый(ая) kol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.