Стоит Dr.web
Проблемы с удаление что делать ??
Printable View
Стоит Dr.web
Проблемы с удаление что делать ??
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\DOCUME~1\Wirludo\LOCALS~1\Temp\2764.exe','');
DeleteFile('C:\DOCUME~1\Wirludo\LOCALS~1\Temp\2764.exe');
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('NDnet1');
BC_QrSvc('ip6fw');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Сдела - отослал
Странно, почти ничего не удалилось.
Вы не забыли восстановление системы отключить? Отключите обязательно.
Выполните следующий скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportDeletedList;
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте все три лога по правилам.
Было сделано с самого начала...
На рабочем столе в свойствах мой компьютера поставлена галачка запрета восстановления системы.
Выгружен и поставлен на ручной режим мониторинг Dr.web
Запущен эксплорер.
Сделаны логи.
Выполнен указанный скрипт.
Отосланы материалы по карантину.
Сделаны логи.
( есть вопрос интернет обязательно отключат - в правилах не сказано или не увидел, входить в безопасный режим или в обычном, при сканировании указывать все диски системы - по умолчанию указывается только диск С)
[QUOTE]есть вопрос интернет обязательно отключат - в правилах не сказано или не увидел, входить в безопасный режим или в обычном, при сканировании указывать все диски системы - по умолчанию указывается только диск С[/QUOTE]
Интернет отключать, т.к. отключаем антивирус, нельзя же без защиты.
Выполняем в обычном, если явно не сказано про безопасный.
Никакие диски указывать не надо, просто выполняем скрипты.
Теперь по теме. Опять все основные ваши зловреды живы.
Попробуем еще разок.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - (no file)
O2 - BHO: (no name) - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
[/code]
Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('ip6fw');
BC_DeleteSvc('PowerManager');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\svchоst.exe');
BC_DeleteFile('C:\WINDOWS\temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки еще раз сделайте логи.
С этим проде разобрались - больше не появляются файлы...
Надеюсь там больше ничего нет ??
У меня такое чувство, что что-то ещё осталось.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
QuarantineFile('C:\Program Files\cFosSpeed\spd.exe ','');
QuarantineFile('C:\WINDOWS\system32\\Drivers\stremu.SYS','');
QuarantineFile('C:\WINDOWS\system32\LVPr2Mon.sys','');
QuarantineFile('C:\WINDOWS\Explorer.EXE','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.[/code]
[B]boot_copy.log[/B]- из папки AVZ прикрепить к вашему следующему ответу !
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10750[/url]
каратин отправлен 070701_235334_virus_4688063ee3ca2.zip
Требуемый лог прилогается
Жду вердикта ..........
В карантине ничего вредоносного нет.
Выполните скрипт:
[code]
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system');
DeleteFile('C:\WINDOWS\svchost.bak');
DeleteFile('C:\Program Files\DrWeb\Infected.!!!\*.*');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте лог п.10 правил для контроля.
И еще один момент, посмотрите, что пишет AVZ про ваши хрумеры:
[code]
C:\download\Xrumer\Xrumer\2.5\XPYMEP_.EXE - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
C:\Downloads\Xrumer3\xdemo\xdemo3.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
C:\Downloads\Xrumer3\xrumer\xdemo3.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
[/code]
Так что прежде чем пользовать, закиньте их на всякий случай на [url]www.virustotal.com[/url], мало ли что.
Вроде все норма ....
Огромное спасибо - вы занимаетесь отважным делом спасением.........
Сам бы не справился -так что удачи вам во всем.....
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Ошибка ; в позоции 7/1
Скрипт не выплняется
выполните скрипт,поправил.
Отправил карантин - жду вердикт !!!
Вирустотал сказал что всё чисто,подождём ответ ЛК.(по всей видимости файл принадлежит акробат ридеру)
Кроме него ничего подозрительного больше нет.если симптомы пропали,то лечение можно считать законченным ;)
Во супер огромное спасибо - теперь спокоен за инфу и в общем...
Если попадаются вирусы так попадаю по полной :)))
Удачи вам и вашему проекту........
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\wirludo\\locals~1\\temp\\2764.exe - [B]Virus.Win32.Grum.m[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\svchost.exe - [B]Trojan-Downloader.Win32.Agent.bwx[/B] (DrWEB: Trojan.DownLoader.25802)[/LIST][/LIST]