Хорошо. Скачайте autoruns от sysinternals http://technet.microsoft.com/en-us/s.../bb963902.aspx Запустите, разверните окно и сделайте скриншот. Должно быть примерно так http://www.ixbt.com/soft/sysinternals-autoruns.shtml
Хорошо. Скачайте autoruns от sysinternals http://technet.microsoft.com/en-us/s.../bb963902.aspx Запустите, разверните окно и сделайте скриншот. Должно быть примерно так http://www.ixbt.com/soft/sysinternals-autoruns.shtml
Сердце решает кого любить... Судьба решает с кем быть...
Перегрузился создал новую папку и АВЗ дал нормальный карантин,скриншот авторана ещё нужен?
Давайте.
Добавлено через 2 минуты
Все я его увидела! Карантин у нас. Сейчас напишу скрипт.
Последний раз редактировалось Aleksandra; 29.10.2009 в 04:04. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
В скриншот всё не влезет если фотать everything (или другую закладку? )
можно сохранить в текстовый файл но там не понятно или с их фирменным разрешением .арн (но весит 6 метроов ). Как лучше сделать.У меня ещё есть Gmer ,он кстати в хайд процесс показывает что-то.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('srosa'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys'); DeleteFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','H/PC Connection Agent'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ropfjjpl'); BC_Activate; RebootWindows(true); end.
3. Сделайте полный комплект логов используя обычный AVZ, только не забудьте обновить его базы.
Последний раз редактировалось Aleksandra; 29.10.2009 в 04:21.
Сердце решает кого любить... Судьба решает с кем быть...
ошибка в 11:1
Сорри. Уже исправила. Выполняйте.
Сердце решает кого любить... Судьба решает с кем быть...
winupgro.exe всё ещё жив,авз нормальный не пашет.Могу отчёт из Рут Репила по процессам прислать,он его как раз видит,не надо?
Давайте + логи полиморфной версии.
Сердце решает кого любить... Судьба решает с кем быть...
пока вот,авз пришпилило сканирует...а ну и winupgro .exe впроцессах наверное в логе ща не видно будет так как я его перед этим убил,а так он лежит в aplication data/drivers
Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('srosa'); DeleteFile('C:\WINDOWS\System32\Drivers\sr.sys'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ropfjjpl.sys'); DeleteFile('C:\Program Files\Microsoft ActiveSync\wcescomm.exe'); RegKeyParamDel('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionRun','H/PC Connection Agent'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ropfjjpl'); BC_Activate; RebootWindows(true); end.
3. Сделайте полный комплект логов используя обычный AVZ, только не забудьте обновить его базы.
Сердце решает кого любить... Судьба решает с кем быть...
Спасибо,всё выполнил,логи приложил.По-моему последний гадёныш остался.
Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%System32%\drivers\srosa.sys',''); QuarantineFile('%System32%\drivers\hldrrr.exe',''); QuarantineFile('%System32%\wintems.exe',''); QuarantineFile('%System32%\drivers\mdelk.exe',''); QuarantineFile('%System32%\mdelk.exe',''); QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\downld\159406.exe',''); QuarantineFile('C:\123\cmos.com',''); QuarantineFile('C:\Documents and Settings\Sergey\Application Data\m\flec006.exe',''); QuarantineFile('C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe',''); DeleteService('srosa'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\wfsintwq.sys'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\winupgro.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','drvsyskit'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\m\flec006.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mule_st_key'); DeleteFile('C:\123\cmos.com'); DeleteFile('C:\Documents and Settings\Sergey\Application Data\drivers\downld\*.*'); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportALL; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); SaveLog(GetAVZDirectory + 'B_d.txt'); RebootWindows(true); end.
3. Повторите логи + приложите B_d.txt и boot_clr_B_d.log.
Скрипт выполните два раза!
Последний раз редактировалось Aleksandra; 29.10.2009 в 22:22.
Логи
Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.
1. Скачайте avast! antirootkit tool. Проверьте им машину. После проверки выбираем "Fix now" и rebooting...
2. Отключите восстановление системы и антивирус.
3. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('C:\Documents and Settings\Sergey\Application Data\drivers\downld', '*.*', true); DeleteDirectory('C:\Documents and Settings\Sergey\Application Data\drivers\downld'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Авас ташёл 245 файлов нашал на фикс ,потом на ребут.Потом фикс авз и логи.
Последний раз редактировалось loungeserj; 17.11.2009 в 21:06.
Ничего зловредного в логах нет. Еще есть проблемы?
Сердце решает кого любить... Судьба решает с кем быть...
Нет,вроде всё в порядке.Большое спасибо =) А да и я вас спрашивал в личке,можете ответить.Спасибо ещё раз =)
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\sergey\application data\drivers\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( DrWEB: Win32.HLLM.Beagle.324, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )
- c:\program files\microsoft activesync\wcescomm.exe - Trojan-Downloader.Win32.Bagle.bji
Уважаемый(ая) loungeserj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.