Dr. Web постоянно исцеляет фаилы зараженные вирусом trojan.pws.panda.114, но сканирование результатов не дает. Интернет работает нормально, изредко пропадает звук.
Dr. Web постоянно исцеляет фаилы зараженные вирусом trojan.pws.panda.114, но сканирование результатов не дает. Интернет работает нормально, изредко пропадает звук.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [] O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user') O9 - Extra button: LENOVO - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.lenovo.com (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
В AVZ выполните скрипт:
После перезагрузкиКод:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SetAVZGuardStatus(true); QuarantineFile('csrcs.exe',''); DeleteFile('csrcs.exe'); BC_ImportDeletedList; ExecuteSysClean; AddToLog(inttostr(BC_ServiceKill('bxokb')) ); SaveLog(GetAVZDirectory+'avz_log.txt'); BC_Activate; ExecuteRepair(16); ExecuteRepair(8); ExecuteRepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); executewizard('TSW',3,3,true); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи.
Последний раз редактировалось миднайт; 28.01.2010 в 03:06. Причина: добавлено
У меня проблема не могу отключить системное востановление.
Место где надо поставить галку не активно(заблокированно). Что делать? Могу прислать скриншот. Учетная запись - Администратор.
В связи с этим подправил скрипт. Пропустите этот пункт и выполните скрипт.
Вот новые логи:
Карантин не присылается, похоже он пуст.
Это наверное тоже надо?
В HiJackThis пофиксите:
Код:O4 - HKLM\..\Policies\Explorer\Run: []
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DeleteService('skhszcwpt'); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteFile('C:\WINDOWS\system32\01.tmp'); BC_DeleteFile('C:\WINDOWS\system32\01.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('skhszcwpt'); BC_Activate; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи.
Выполнил скрипт в AVZ.
O4 - HKLM\..\Policies\Explorer\Run: [] - эту строчку не нашел.
В карантине ничего нет.
Появилась возможность отключить Востановление системы.
Мне выполнить скрипт еще раз с отключением Востановления системы ????
Логи повторите, посмотрим.
Вот последние:
Чисто. Internet Explorer обновите.
Проблема решена?
Браузер не грузит страницы. Звук пропадает по прежнему. Все проблемы появляются при подключении интернета.
Посмотрите пожалуйста:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\updated7.exe'); QuarantineFile('C:\WINDOWS\system32\75.scr',''); QuarantineFile('C:\WINDOWS\updated7.exe',''); QuarantineFile('C:\WINDOWS\system32\scshost.exe',''); DeleteFile('C:\WINDOWS\system32\scshost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchhost'); DeleteFile('C:\WINDOWS\updated7.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\75.scr'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',3,3,true); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите
+
Выполните скрипт во вложении, результат из корня диска С c:\avz_log.txt или из папки AVZ\LOG приложите к сообщению.
ScanVuln.txt
Сделал как вы сказали:
В логе ничего плохого не нахожу. Проблема решена? Пройдитесь по ссылкам из лога avz_log.txt , поставьте обновления на систему.
Почитайте эту книгу http://security-advisory.ru/ - пригодиться.
=
C:\WINDOWS\system32\scshost.exe, C:\WINDOWS\system32\75.scr, C:\WINDOWS\updated7.exe - Backdoor.Win32.EggDrop (BackDoor.IRC.Bot)
Поставил обновления, думаю теперь все нормально! Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\scshost.exe - Backdoor.Win32.EggDrop.abg ( DrWEB: BackDoor.IRC.Bot.184, BitDefender: Gen:Trojan.Heur.TP.eq0@bSqRnPai, AVAST4: Win32:Crypt-FVB [Trj] )
- c:\windows\system32\75.scr - Backdoor.Win32.EggDrop.abg ( DrWEB: BackDoor.IRC.Bot.184, BitDefender: Gen:Trojan.Heur.TP.eq0@bSqRnPai, AVAST4: Win32:Crypt-FVB [Trj] )
- c:\windows\updated7.exe - Backdoor.Win32.EggDrop.abg ( DrWEB: BackDoor.IRC.Bot.184, BitDefender: Gen:Trojan.Heur.TP.eq0@bSqRnPai, AVAST4: Win32:Crypt-FVB [Trj] )
Уважаемый(ая) Vladimir P., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.