Подхватил мой пк z-connect. Не исключаю наличие иных вирусов. Вся надежда на Вас, заранее спасибо.
Подхватил мой пк z-connect. Не исключаю наличие иных вирусов. Вся надежда на Вас, заранее спасибо.
!! База поcледний раз обновлялась 21.08.2009 -- базы обновить..
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe',''); QuarantineFile('c:\windows\system32\wshost32.exe',''); QuarantineFile('c:\windows\ncdrive32.exe',''); DeleteFile('c:\windows\system32\wshost32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); DeleteFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe'); BC_ImportDeletedList; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин по Правилам.
Последний раз редактировалось PavelA; 03.10.2009 в 20:10.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вирус не удалился. Вот логи:
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\190.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe',''); QuarantineFile('c:\windows\ncdrive32.exe',''); DeleteFile('c:\windows\ncdrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\190.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\245.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\517.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\587.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\730.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\732.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\779.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\860.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5Q7YMCQ5\vs8[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Не помогает
Вот логи:
Отключите восстановление системы
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Сделать новые логи. Связь все так же прерывается? Или остался только значок соединения z-connect?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пока все норм.
Дело в том, что у меня установлен еще один хдд с виндой на нем, правда я эту систему не использую(даже не знаю работает ли она). Может ли вирус "бэкапиться" с другого хдд?
Эту систему не жалко - могу без проблем отформатировать диск и переустановить, но данные на втором винте бесценны. Так что на нем вариант только лечение.
Порядок.
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
"Порядок."
После последней перезагрузки аваст жалуется на "C:\WINDOWS\system32\homlogsrv.dll\[UPX]" (Win32:Siveras-B [Expl])
"Установите SP3 (может потребоваться активация) + все новые заплатки"
Я так понял можно обойтись обновлением системы?
Спасибо за помощь.
Ах да - с подключением все впорядке уже около часа. Но такое тоже бывало...
Хм... Действительно
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('c:\windows\system32\homrunsrv.dll',''); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
От z-connect'a мы избавились, за что Вам спасибо человеческое. Но вот "C:\WINDOWS\system32\homlogsrv.dll\[UPX]" (Win32:Siveras-B [Expl]) продолжает досаждать. Хотя никакого негативного влияния замечено не было, все же антивирус его удалить не может, и диалогове окно продолжает бесконечно оповещать о заразе.
Еще раз спасибо за помощь.
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\homrunsrv.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Все-таки продолжает сидеть какая то зараза. Прерывается аплоад; произвольно закрываются qip, download master; аваст негодует...
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\BtSrv.exe',''); QuarantineFile('c:\windows\system32\brchrunsrv.dll',''); DeleteFile('c:\windows\system32\brchrunsrv.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BrchSrv\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все выполнил:
BtSrv.exe пришлите согласно приложению 2 правил...
Пардон, запамятовал. Машину еще не перезагружал, но судя по всему от вирусов избавились. Спасибо всем огромное, товарищи!
C:\WINDOWS\System32\BtSrv.exe-Backdoor.Win32.Hupigon.ifxb
Выполните скрипт:
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('BitSrv'); DeleteFile('C:\WINDOWS\System32\BtSrv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('BitSrv'); BC_Activate; RebootWindows(true); end.
Готово:
Уважаемый(ая) Warcloud, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.