Показано с 1 по 8 из 8.

Очистка после eKav (заявка № 67898)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    4
    Вес репутации
    26

    Thumbs up Очистка после eKav

    Доброй ночи.
    Помогите, пожалуйста, с очисткой компьютера после eKav. С самим вирусом кое как справился с помощью gmer, но остался заблокированным реестр и аваст. Логи прилагаю.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\bthprops.cpl:eRq3JB:$DATA','');
     DelBHO('{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     DeleteService('ati5kqxx');
     DeleteService('ati4vcxx');
     DeleteService('ati2ubxx');
     DeleteService('ati2cjxx');
     DeleteService('ati1ryxx');
     DeleteService('ati1ntxx');
     DeleteService('ati0bhxx');
     DeleteService('wuauservupnphost');
     DeleteService('WMPNetworkSvcWudfSvc');
     DeleteService('WinpowerRMIWinpowermonitor');
     DeleteService('WinpowerRMIRemoteRegistryAlerterEventSystemSQLBrowser');
     DeleteService('WinpowerRMIIDriverT');
     DeleteService('WinpowerMSMQTriggersNla');
     DeleteService('WinpowermonitorNtmsSvcAdobeAlerter');
     DeleteService('WinpowermonitorNtmsSvc');
     DeleteService('WinpowermonitordmserverRasAuto');
     DeleteService('WinpowermonitordmserverNtmsSvc');
     DeleteService('Winpowermonitordmserver');
     DeleteService('winmgmtSQLWriterTlntSvrFirebirdServerDefaultInstance');
     DeleteService('winmgmtSQLWriter');
     DeleteService('winmgmtRDSessMgrWudfSvc');
     DeleteService('WebClientdmadmin');
     DeleteService('VMAuthdServicedmadmin');
     DeleteService('VMAuthdServiceCOMSysApp');
     DeleteService('TrkWks 5');
     DeleteService('TlntSvrFirebirdServerDefaultInstance');
     DeleteService('TlntSvraspnet_state');
     DeleteService('ThemesNtmsSvc');
     DeleteService('ThemesNetTcpPortSharing');
     DeleteService('TapiSrvWinpowerRMI');
     DeleteService('StarWindServiceAEFirebirdServerDefaultInstanceShellHWDetectionmsvsmon90');
     DeleteService('StarWindServiceAEDcomLaunch');
     DeleteService('srserviceSQLWriter');
     DeleteService('SQLBrowserPolicyAgentNtLmSsp');
     DeleteService('SQLBrowseraspnet_state');
     DeleteService('ShellHWDetectionmsvsmon90');
     DeleteService('ServiceLayerTrkWks');
     DeleteService('seclogonmsvsmon90');
     DeleteService('ScheduleTrkWks');
     DeleteService('RSVPsrservice');
     DeleteService('RemoteRegistryAlerterEventSystemSQLBrowser');
     DeleteService('RDSessMgrWudfSvc');
     DeleteService('ProtectedStorageVMAuthdServicedmadminClipSrv');
     DeleteService('ProtectedStorageVMAuthdServicedmadmin');
     DeleteService('ProtectedStorageMSIServerwinmgmtScheduleTrkWks');
     DeleteService('ProtectedStorageMSIServerwinmgmt');
     DeleteService('ProtectedStorageMSIServer Licensing Service');
     DeleteService('ProtectedStorageMSIServer');
     DeleteService('ProtectedStoragea2AntiMalware');
     DeleteService('pr2appgbSQLBrowser');
     DeleteService('pr2appgbRasAuto');
     DeleteService('PolicyAgentNtLmSsp');
     DeleteService('pgsql-8.2FirebirdGuardianDefaultInstance');
     DeleteService('NtLmSspMDMW32TimeShellHWDetectionmsvsmon90');
     DeleteService('NtLmSspMDMW32Time');
     DeleteService('NtLmSspMDMAlerterclr_optimization_v2.0.50727_32');
     DeleteService('NtLmSspMDM');
     DeleteService('Nla Mobile Device');
     DeleteService('Netmanlanmanserver');
     DeleteService('Netlogonhkmsvc');
     DeleteService('NetDDEdsdm 5');
     DeleteService('NetDDE 5');
     DeleteService('napagentwinmgmtSQLWriter');
     DeleteService('MSSQL$SQLEXPRESSWmi');
     DeleteService('MSSQL$SQLEXPRESSAppMgmtRSVPsrservice');
     DeleteService('MSMQTriggersose');
     DeleteService('MSMQTriggersNla');
     DeleteService('MSMQMDM');
     DeleteService('MSMQCiSvcMSMQCiSvc');
     DeleteService('MSMQCiSvc NAT Service');
     DeleteService('MSMQCiSvc');
     DeleteService('mnmsrvc 5');
     DeleteService('MessengerAlerterEventSystemSQLBrowser');
     DeleteService('MDMRSVPsrservice');
     DeleteService('HTTPFilterEapHost');
     DeleteService('HidServxmlprov');
     DeleteService('helpsvcpr2appgbRasAuto');
     DeleteService('FLEXnetWinpowermonitordmserverNtmsSvc');
     DeleteService('FirebirdServerDefaultInstanceShellHWDetectionmsvsmon90');
     DeleteService('EventSystemSQLBrowserSQLBrowser');
     DeleteService('EventSystemSQLBrowserBITS');
     DeleteService('EventSystemSQLBrowser');
     DeleteService('ERSvcTlntSvrFirebirdServerDefaultInstance');
     DeleteService('dmadminstisvc');
     DeleteService('DcomLaunchMSMQ');
     DeleteService('COMSysAppRDSessMgrWudfSvc');
     DeleteService('clr_optimization_v2.0.50727_32 Mobile Device');
     DeleteService('ClipSrvRemoteRegistryAlerterEventSystemSQLBrowser');
     DeleteService('BrowserMSMQMDM');
     DeleteService('AudioSrvnapagent');
     DeleteService('AtiThemesHTTPFilter');
     DeleteService('AtiThemes');
     DeleteService('aspnet_stateMSSQL$SQLEXPRESS');
     DeleteService('aspnet_stateaspnet_state');
     DeleteService('AppMgmtRSVPsrservice');
     DeleteService('Alerterose');
     DeleteService('AlerterEventSystemSQLBrowserstisvc');
     DeleteService('AlerterEventSystemSQLBrowser');
     DeleteService('Alerterclr_optimization_v2.0.50727_32RSVP');
     DeleteService('Alerterclr_optimization_v2.0.50727_32');
     DeleteService('AdobeAudioSrv');
     DeleteService('AdobeAlerter');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati0bhxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1ntxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1ryxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2cjxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2ubxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4vcxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5kqxx.sys');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rs32net');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rs32net');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','braviax');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','braviax');
     DeleteFile('C:\WINDOWS\system32\bthprops.cpl:eRq3JB:$DATA');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('H:\autorun.inf');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\size3_m.cur:eRq3JB', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67898

    4. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    4
    Вес репутации
    26
    Quarantinу.zip отправил. Avast все еще заблокирован. Логи:
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati0bhxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1ntxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati1ryxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2cjxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2ubxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4vcxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5kqxx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ati5kqxx');
    BC_DeleteSvc('ati4vcxx');
    BC_DeleteSvc('ati2ubxx');
    BC_DeleteSvc('ati2cjxx');
    BC_DeleteSvc('ati1ryxx');
    BC_DeleteSvc('ati1ntxx');
    BC_DeleteSvc('ati0bhxx');
    BC_DeleteSvc('WMPNetworkSvcWudfSvc');
    BC_DeleteSvc('WinpowermonitordmserverNtmsSvc');
    BC_DeleteSvc('Winpowermonitordmserver');
    BC_DeleteSvc('winmgmtSQLWriter');
    BC_DeleteSvc('WebClientdmadmin');
    BC_DeleteSvc('VMAuthdServicedmadmin');
    BC_DeleteSvc('ThemesNetTcpPortSharing');
    BC_DeleteSvc('SQLBrowseraspnet_state');
    BC_DeleteSvc('ScheduleTrkWks');
    BC_DeleteSvc('RSVPsrservice');
    BC_DeleteSvc('RemoteRegistryAlerterEventSystemSQLBrowser');
    BC_DeleteSvc('RDSessMgrWudfSvc');
    BC_DeleteSvc('ProtectedStorageMSIServerwinmgmt');
    BC_DeleteSvc('ProtectedStorageMSIServer');
    BC_DeleteSvc('pr2appgbRasAuto');
    BC_DeleteSvc('pgsql-8.2FirebirdGuardianDefaultInstance');
    BC_DeleteSvc('NtLmSspMDMW32Time');
    BC_DeleteSvc('NtLmSspMDM');
    BC_DeleteSvc('MSMQMDM');
    BC_DeleteSvc('MSMQCiSvcMSMQCiSvc');
    BC_DeleteSvc('MSMQCiSvc');
    BC_DeleteSvc('mnmsrvc 5');
    BC_DeleteSvc('MessengerAlerterEventSystemSQLBrowser');
    BC_DeleteSvc('HidServxmlprov');
    BC_DeleteSvc('EventSystemSQLBrowserSQLBrowser');
    BC_DeleteSvc('EventSystemSQLBrowser');
    BC_DeleteSvc('dmadminstisvc');
    BC_DeleteSvc('AudioSrvnapagent');
    BC_DeleteSvc('AtiThemes');
    BC_DeleteSvc('Alerterose');
    BC_DeleteSvc('AlerterEventSystemSQLBrowser');
    BC_DeleteSvc('Alerterclr_optimization_v2.0.50727_32');
    BC_DeleteSvc('AdobeAudioSrv');
    BC_DeleteSvc('AdobeAlerter');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    4
    Вес репутации
    26
    Вручную удалил из реестра ограничение на запуск.
    Лог:
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Удалите остатки NOD32 http://virusinfo.info/showthread.php?t=16646

    Ничего зловредного в логах не увидела. Проблема решена?
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    4
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Проблема решена?
    Остатки нода удалил. Проблема решена.
    Огромное спасибо!!!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\bthprops.cpl:erq3jb:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\sdra64.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Bredolab-BR [Trj] )


  • Уважаемый(ая) NorthPole, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. После eKAV хвосты
      От Bizant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.01.2010, 01:55
    2. Очистка после eKAV Antivirus
      От Mantiro в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.01.2010, 22:04
    3. Очистка от eKAV Antivirus
      От elmt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.01.2010, 01:21
    4. Очистка после eKAV
      От samdurak в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.01.2010, 22:26
    5. после ekav antivir
      От SiL3nT в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.01.2010, 23:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00337 seconds with 21 queries