-
Junior Member
- Вес репутации
- 54
Воссоздаётся удаляемый файл и заблокированы некоторые программы
Добрый день.
Поудалял с компьютера кучу вирусов с помощью Virus Removal Tool и DrWeb (системный диск подцеплял для чистки к другому чистому компьютеру).
На "больном" компьютере были визуальные симптомы - постоянное обращение к дисководу для дискет, не запускались некоторые exe-шники (в том числе AVZ и CureIt), на флэшке пересоздавались скрытые авторан.ини и папка рециклер, не запускался в безопасном режиме. (На компьютере стоял и молчал AVG)
После установки "почищенного" диска обратно в компьютер и повторного сканирования с помощью Virus Removal Tool, CureIt и AVZ появились безопасный режим, прекратился треск флоппи-дисковода, перестали создаваться на флэшке автораны.
Но остался заблокирован запуск некоторых файлов, продолжает восстанавливаться после удаления с перезагрузкой (через AVZ) файл Win\system32\appmgmts.dll (в свойствах производитель - шеньженьский QVOD технолоджи) - он вызывает подозрение у AVZ.
p.s. безопасный режим опять не загружается - доходит до синего окна с сообщением о якобы сбойном диске, который надо тестировать
virusinfo_syscheck.zip создавался на компьютере без подключения к интернету
Последний раз редактировалось ysb; 09.05.2010 в 11:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: zyhlibP - {59E7ACF5-7887-4256-89DC-133B9D9D0424} - (no file)
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
StopService('fuj');
StopService('acpi24Drv');
StopService('vyuki');
QuarantineFile('C:\WINDOWS\vsrd.exe','');
QuarantineFile('C:\WINDOWS\system32\vyook.exe','');
StopService('DescriptionHero2');
QuarantineFile('C:\WINDOWS\system32\QIRCXRLAIX\D001.exe','');
DeleteService('fuj');
QuarantineFile('C:\WINDOWS\system32\QIRCXRLAIX\M001.exe','');
DeleteService('vyuki');
StopService('vyuki');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
DeleteService('acpi24Drv');
QuarantineFile('C:\WINDOWS\system32\drivers\uooasd.sys','');
DeleteService('jwzgrnuzq');
StopService('jwzgrnuzq');
DeleteFile('C:\WINDOWS\system32\drivers\uooasd.sys');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\WINDOWS\system32\QIRCXRLAIX\M001.exe');
DeleteFile('C:\WINDOWS\system32\QIRCXRLAIX\D001.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 54
повторные логи
карантин отправил
Последний раз редактировалось ysb; 09.05.2010 в 11:02.
-
1.
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
StopService('nykhlpphfefgho');
QuarantineFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys','');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 54
повторный карантин отправил
-
поищите файл C:\WINDOWS\system32\drivers\dsyvtsy.sys, если найдете попробуйте заархивировать в архив ZIP с паролем: virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы.
-если так не получится, сделайте так
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте C:\WINDOWS\system32\drivers\dsyvtsy.sys в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме и отключите антивирус
5. Заархивируйте переименованный файл в архив ZIP с паролем: virus и пришлите его по ссылке Прислать запрошенный карантин вверху темы.
6. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
файл C:\WINDOWS\system32\drivers\dsyvtsy.sys не обнаруживается ни на работающем компьютере, ни на диске, снятом и подключенном к другому копьютеру
На работающем компьютере продолжает восстанавливаться файл C:\WINDOWS\system32\appmgmts.dll и стало видно восстановление в корне диска С его "родственника" (судя по названию производителя) booter.exe/
Оба файла стали позволять удалять себя вручную, но после перезагрузки восстанавливаются.
-
Сообщение от
ysb
C:\WINDOWS\system32\appmgmts.dll
- чистый.
сделайте лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
polword
- чистый.
Теперь в его свойствах написано - разработчик Майкрософт
p.s. после перезагрузки снова - "разработчик QVOD" и восстанавливается в корне диска booter.exe
Лог прилагаю
Последний раз редактировалось ysb; 09.05.2010 в 11:02.
-
попробуйте найти и скопировать файл C:\WINDOWS\system32\drivers\dsyvtsy.sys с помощью ICE Sword
как скопировать с помощью ICE Sword
если получится - заархивируйте в zip архив с паролем - virus и пришлите по ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось polword; 26.02.2010 в 13:40.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
С помощью ICE Sword такой файл тоже не виден и не находится поиском
-
Здравствуйте. Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys','');
DeleteService('nykhlpphfefgho');
QuarantineFile('C:\WINDOWS\System32\drivers\GDEMGS.SYS','');
DeleteService('GDEMGS');
QuarantineFile('C:\WINDOWS\vsrd.exe','');
DeleteService('trsdg');
QuarantineFile('C:\WINDOWS\system32\vyook.exe','');
DeleteService('DescriptionHero2');
DeleteFile('C:\WINDOWS\system32\vyook.exe');
DeleteFile('C:\WINDOWS\vsrd.exe');
DeleteFile('C:\WINDOWS\System32\drivers\GDEMGS.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\dsyvtsy.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
Добрый вечер.
Карантин выслал, логи прилагаю.
Два надоедливых файла после скрипта продолжают самовосстанавливаться
Последний раз редактировалось ysb; 09.05.2010 в 11:02.
-
Пофиксить в Hijack
Код:
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\appmgmts.dll','');
RenameFile('%windir%\system32\appmgmts.dll', '%windir%\system32\appmgmts.bak');
CopyFile('%windir%\system32\dllcache\appmgmts.dll', '%windir%\system32\appmgmts.dll');
DeleteFile('%windir%\system32\appmgmts.bak');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
Карантин отправил, логи прилагаю.
Два QVOD-овских файла продолжают восстанавливаться
Последний раз редактировалось ysb; 09.05.2010 в 11:02.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\actmovieh.exe','');
RenameFile('%windir%\system32\appmgmts.dll', '%windir%\system32\appmgmts.bak');
CopyFile('%windir%\system32\dllcache\appmgmts.dll', '%windir%\system32\appmgmts.dll');
DeleteFile('%windir%\system32\appmgmts.bak');
DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
DeleteFile('digeste.dll');
ExecuteSysClean;
Executerepair(10);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
Карантин отправил, логи прилагаю
Последний раз редактировалось ysb; 09.05.2010 в 11:02.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте замену файла appmgmts.dll из дистрибутива. Как проводить замену, см. здесь--http://virusinfo.info/showthread.php?t=51654
-
-
Junior Member
- Вес репутации
- 54
Карантин отправил
appmgmts.dll заменял и из dllcache (был Майкрософтовский) и из дистрибутива - после перезагрузки меняется на QVOD-ский и воссоздаётся уделённый из корня exe-шник
-
Сделайте комплект логов, + логи Gmer и MBAM.
-