-
Junior Member
- Вес репутации
- 55
Не запускается антивирус, браузер Опера....
Значки на рабочем столе мелкие. Хотя в настройках стоят крупные, изменял на мелкие, остаются без изменений.
AVZ иHiJackThis не запускаются, поэтому не смог сделать. -
AVPTool запустилась, но в ходе проверки идет сбой, появляется синий экран. Получилось сделать логи AVP.
Последний раз редактировалось andreydgk; 13.10.2009 в 00:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe ','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00196.sys','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00196.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe ');
BC_ImportALL;
BC_DeleteSvc('ids00196');
BC_DeleteSvc('ids00026');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится. Выполните второй скрипт
Код:
Begin
CreateQurantineArchive('C:\quarantine.zip');
End.
Закачайте карантин (он будет в корневом каталоге диска С ) по красной ссылке вверху страницы. Попробуйте пролечиться AVPTool (полное сканирование в безопасном режиме), если не получится скачайте DrWeb CureIt и пролечитесь им.
Сделайте новые логи АВЗ и Hijackthis, если не будут запускаться переименуйте их
-
-
Junior Member
- Вес репутации
- 55
Антивирус и опера запустились, высылаю логи
Последний раз редактировалось andreydgk; 13.10.2009 в 00:34.
-
Отключите восстановление системы! Почистите временные файлы интернета.
Выполните скрипт AVZ
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\flcss.exe','');
QuarantineFile('C:\Program Files\Ufasoft\IcqSnif\sniff_nt.sys','');
QuarantineFile('C:\WINDOWS\system32\suhenter.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\adhexwmv.SYS','');
QuarantineFile('C:\My Downloads\MD5hasher.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Пофиксите Hijackthis
Код:
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {92860A02-4D69-48c1-82D7-EF6B2C609502} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
Закачайте карантин, включите AVZPM, перезагрузитесь, сделайте лог virusinfo syscheck, перезагрузитесь и сделайте лог Gmer. Оба лога выложите
-
-
Junior Member
- Вес репутации
- 55
карантин загрузил, логи вот
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('\systemroot\system32\drivers\ovfsthxmcklwowp.sys','');
DeleteFile('\systemroot\system32\drivers\ovfsthxmcklwowp.sys');
ClearHostsFile;
BC_ImportALL;
BC_DeleteSvc('ovfsthxmcklwowp');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Повторите логи
-
-
Junior Member
- Вес репутации
- 55
После выполнения скрипта, компьютер перегрузился. Вместо приветствия появилась ошибка загрузки, файлы загружались в 3 этапа около получаса. Последующий загрузки все ок.
-
Карантин не туда закачали, по красной ссылке вверху страницы закачивайте. У вас буткит. Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ovfsthxbbqankol.dll','');
QuarantineFile('C:\WINDOWS\system32\ovfsthxwgvpwsww.dat','');
QuarantineFile('C:\WINDOWS\system32\drivers\ovfsthxmcklwowp.sys','');
QuarantineFile('C:\WINDOWS\system32\ovfsthxwi.dll','');
QuarantineFile('C:\WINDOWS\system32\ovfsthxff.dll','');
QuarantineFile('C:\WINDOWS\system32\ovfsthxrupxmybw.dll','');
QuarantineFile('C:\WINDOWS\system32\ovfsthxvjbappyu.dat','');
QuarantineFile('C:\WINDOWS\system32\ovfsthxeflyyvul.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Карантин закачайте. Скачайте самый свежий CureIt и пролечитесь на полном сканировании в безопасном режиме, потом новые логи virusinfo syscheck и gmer
-
-
Junior Member
- Вес репутации
- 55
Лечение Rootkit.Win32.Agent.jbr
произвел Касперский. Проверти логи и карантин
-
В обычном режиме запустите Gmer, после окончания быстрой проверки найдите строчку
Код:
Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
, щелкните на ней правой кнопкой, выберите Copy и сохраните содержимое в какой нибудь файл. Этот файл тоже пришлите нам.
Последний раз редактировалось Alex_Goodwin; 28.09.2009 в 00:54.
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\ovfsthxmcklwowp.sys','');
DeleteFile('c:\windows\system32\drivers\ovfsthxmcklwowp.sys');
QuarantineFile('c:\windows\system32\ovfsthxrupxmybw.dll','');
DeleteFile('c:\windows\system32\ovfsthxrupxmybw.dll');
QuarantineFile('c:\windows\system32\ovfsthxeflyyvul.dll','');
DeleteFile('c:\windows\system32\ovfsthxeflyyvul.dll');
QuarantineFile('c:\windows\system32\ovfsthxbbqankol.dll','');
DeleteFile('c:\windows\system32\ovfsthxbbqankol.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится ebxv51vn.exe (gmer)
Код:
ebxv51vn.exe -del service ovfsthxmxfmqhrd
ebxv51vn.exe -del file "c:\windows\system32\drivers\ovfsthxmcklwowp.sys"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxrupxmybw.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxvjbappyu.dat"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxeflyyvul.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxbbqankol.dll"
ebxv51vn.exe -del file "c:\windows\system32\ovfsthxwgvpwsww.dat"
ebxv51vn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxmxfmqhrd"
ebxv51vn.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\ovfsthxmxfmqhrd"
ebxv51vn.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\ovfsthxmxfmqhrd"
ebxv51vn.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Карантин закачал, лог Gmer выложил
-
Junior Member
- Вес репутации
- 55
Сообщение от
vegas
В обычном режиме запустите Gmer, после окончания быстрой проверки найдите строчку
Код:
Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
, щелкните на ней правой кнопкой, выберите Copy и сохраните содержимое в какой нибудь файл. Этот файл тоже пришлите нам.
вот этот файл
-
Junior Member
- Вес репутации
- 55
как лог в gmere ? вроде предупреждает о руткуле...
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.8840, BitDefender: Gen:Trojan.Heur.AutoIT.SmNfbWG92Ojk, AVAST4: Win32:Trojan-gen )
-