Не убиваются следующие красавцы:
C:\WINDOWS\system32\ckeacke.dll - Win32/Delf.NFR
C:\WINDOWS\system32\ckeacke.dll.bak - Win32/Delf.NFR
Printable View
Не убиваются следующие красавцы:
C:\WINDOWS\system32\ckeacke.dll - Win32/Delf.NFR
C:\WINDOWS\system32\ckeacke.dll.bak - Win32/Delf.NFR
Все намного хуже. Для лечения понадобиться осторожность и время.
Кстати, если бы базы антивируса были обновленыю, думаю такой проблемы бы не возникло.
0. На время запуска скрипта отключить антивирус.
1. Скачать Winsockxpfix. Понадобиться для дальнейшего лечения.
[url]http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html[/url]
2.В AVZ выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Osupov\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('mnqvberu.sys','');
QuarantineFile('C:\WINDOWS\system32\ylqiceqr.dll','');
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
QuarantineFile('C:\WINDOWS\system32\ovaqpujj.dll','');
QuarantineFile('C:\WINDOWS\system32\omdaccrn.dll','');
QuarantineFile('C:\WINDOWS\system32\gypbzlek.dll','');
QuarantineFile('C:\WINDOWS\system32\ckeacke.dll','');
BC_DeleteFile('C:\DOCUME~1\Osupov\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин (ссылка вверху темы).
Cпасибо!
Все сделала по написанному.
А окна с уведомлением о вирусах больше не появляются:).
Прошу прощения - в первый раз не всё правильно сделала. Сейчас, кажется, всё в соответствии с требованиями.
Размер карантина очень велик, буду смотреть вечером. М.б. кто посмотрит раньше...
Спасибо!
C:\WINDOWS\system32\ylqiceqr.dll - Trojan.Sentinel (Dr.Web)
C:\WINDOWS\system32\rsvp32_2.dll - Trojan.Win32.Pakes (KAV)
C:\WINDOWS\system32\ovaqpujj.dll - Trojan.Win32.Delf.zj (KAV)
C:\WINDOWS\system32\omdaccrn.dll - вредительства не найдено (похоже, новый)
C:\WINDOWS\system32\gypbzlek.dll - вредительства не найдено (похоже, новый)
C:\WINDOWS\system32\Drivers\mnqvberu.sys - в карантин не попал (CopyStatus=C0000022)
C:\WINDOWS\system32\ckeacke.dll - в карантин не попал (CopyStatus=C0000034)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ylqiceqr.dll');
DeleteFile('C:\WINDOWS\system32\ovaqpujj.dll');
DeleteFile('C:\WINDOWS\system32\omdaccrn.dll');
DeleteFile('C:\WINDOWS\system32\gypbzlek.dll');
DeleteFile('C:\WINDOWS\system32\ckeacke.dll');
DelSPIByFileName('rsvp32_2.dll',true);
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
ExecuteSysClean;
AutoFixSPI;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Если нарушится связь с интернетом, используйте скачанную утилиту WinsocksFix.
Сделайте новые логи.
Скрипт не выполняется:
Ошибка скрипта: Incompatible types: 'Boolean', 'String', позиция [9:40]
Что делать?
Поправил. Повторите скрипт.
Сделала. И с помощью WinsocksFix. Теперь для подключения к интернету требуют "регистрацию на прокси-сервере". Это как?
Сейчас логи пришлю.
winsockfix возвращает стандартные настройки. Кто вам в начале интернет настраивал ? Сомневаюсь что сами.
Это точно, не сама!
Новые логи:
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {1F4C2C11-DE6E-46D4-BB91-06C6A2392134} - c:\windows\system32\ckeacke.dll (file missing)
O2 - BHO: (no name) - {7B1CB0AE-C7C9-4F91-BB78-EE218C7E1E4C} - c:\windows\system32\iuttwexv.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Osupov\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: hssisasy - ckeacke.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syskrnl3.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mnqvberu.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Есть новый карантин по правилам!
Карантин пуст. Хотя оба эти файла 100% существуют.
Попробуйте загрузиться в безопасном режиме и найти эти файлы вручную, как написано в приложении 2 правил.
C:\WINDOWS\system32\syskrnl3.exe
C:\WINDOWS\system32\drivers\mnqvberu.sys
Прошу прощения - найти и удалить?
Извините за дурацкий вопрос, прочитала и поняла.