Трабл!!!

Вобщем трабл такой : Какойто гад погасил касперского и аваст и нод....
При этом через какойто время ещё и поудалял их EXE-шники ...
Деструктива вроде нет но как-то стрёмно....
Подсобите плиз !

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[B]скрипт №1[/B]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINNT\system32\drivers\gmkmhs.sys','');
QuarantineFile('C:\WINNT\system32\wmdrtc32.dll','');
QuarantineFile('C:\WINNT\System','');
QuarantineFile('c:\winnt\system32\mciservice.exe','');
DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Пофиксить
[CODE]O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) [/CODE]



[SIZE=1][COLOR=#666686][B]Выполните скрипт №2(первый уже не надо)[/B][/COLOR][/SIZE]
mciservice.exe -[B]Trojan.Win32.Dialer.sn[/B]
gmkmhs.sys - [B]Virus.Win32.Sality.s[/B]
wmdrtc32.dll - [B]Email-Worm.Win32.Warezov.et[/B] (его уже удалили)
(по Касперскому)

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[B]скрипт №2[/B]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\winnt\system32\mciservice.exe');
DeleteFile('\??\C:\WINNT\system32\drivers\gmkmhs.sys');
DeleteFile('C:\WINNT\system32\drivers\gmkmhs.sys');
BC_DeleteSvc('MCIService');
BC_DeleteFile('c:\winnt\system32\mciservice.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]повторите логи

Просто у меня WIN2000 Я не вижу востановление системы...
наверна тут его нет...
И варезова по инструкциям с viruslist я убить не могу таких файлов как та описано у меня в system32 нет... :-(

вы выполнили мой скрипт №2?если нет,то выполните и логи пожалуйста повторите.
В win2000 нет восстановления системы.
И при чём тут viruslist?не занимайтесь самолечением!

Вот новые логи.....
С warezov не могу никак справится....

Выполнил ! Прислал Карантин...
и логи после этого прислал
wmdrtc32.dll - Email-Worm.Win32.Warezov.et (его уже удалили)
(по Касперскому)
У меня касперский полностью не работает даже не подгружается....

После перезагрузки прислать boot_clr.log из директории AVZ.

Касперского придется переустанавливать.
Щас всё будет.....

Выполните скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\??\C:\WINNT\system32\drivers\gmkmhs.sys');
BC_DeleteFile('\??\C:\WINNT\system32\drivers\gmkmhs.sys');
DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
BC_DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать boot_clr.log из директории AVZ.

Касперского придется переустанавливать.

Он не создаёт boot_clr.log из директории AVZ В папке лог тоже нет
могу прислать сделаный после последнего скрипта virusinfo_syscheck.zip

d:\sonik\avz4 - в этой директории тоже лога нет ? ;)

безопасный режим недоступе :Синий экран и белый текст с сообщение об ошибке... :-(

Я скрипт поправил. Выполни его же в защищенном режиме.

А в обычном режиме Warezov не удаляется....
Как его убить ? может как то иначе не скриптами???

Да, можно запросто. Скачиваешь Cure-It от Dr.Web на "чистой" машине без вирусов. Загружаешься с CD, запускаешь Cure-It. Сначала он делает экспресс-проверку, а потом проверяешь весь диск "С".

На всякий случай поищи на диске через AVZ след.файл wmdrtc32.dl_. Если найдется, то его сначала в карантин и загрузить сюда, а потом можно и грохнуть.

файл wmdrtc32.dl_. его я грохну по сети каспером с другой тачки а wmdrtc32.dll не выходит...
gmkmhs.sys тоже по сети не бьётся...
буду пробывать юзать Cure-It от Dr.Web
Спасибо...

[QUOTE='BoozyWoozy;121957']файл wmdrtc32.dl_. [/QUOTE]
Он что нашелся?
Если да, то добавляем строчку в скрипт, и все должно сработать.
Описание зверька могу добавить, если надо.

куда именно в строчку перед
DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
BC_DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
Или после? команда ведь такаяже?

[QUOTE='BoozyWoozy;122010']Или после? команда ведь такаяже?[/QUOTE]
Разницы нет ;)Главное чтобы скрипт выполнялся на заражённой машине под админом.

щас сделаем!
А что эт значит "Внимание файл AVZ.exe изменён.его CRC не прошла контроль по базе безопасных" ??????
нада переставлять?

М.б. ничего страшного, просто немного обновилась версия.

вобщем дописал строчку,

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\??\C:\WINNT\system32\drivers\gmkmhs.sys');
BC_DeleteFile('\??\C:\WINNT\system32\drivers\gmkmhs.sys');
DeleteFile('C:\WINNT\system32\wmdrtc32.dl_');
BC_DeleteFile('C:\WINNT\system32\wmdrtc32.dl_');
DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
BC_DeleteFile('C:\WINNT\system32\wmdrtc32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
RebootWindows(true);
end.


выполнил,результата нет :-(
каспер не грузится файлы на месте....
замучилса уже руки опускаются...
если сканер Drweb не поможет я устану :-((