Здравствуйте!:-)
У меня вот такая проблемка. Появился вирус и я его никак не могу искоренить.
Очень надеюсь, что вы мне сможете помочь!
Printable View
Здравствуйте!:-)
У меня вот такая проблемка. Появился вирус и я его никак не могу искоренить.
Очень надеюсь, что вы мне сможете помочь!
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\userinit.exe','');
QuarantineFile('D:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('D:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('D:\WINDOWS\system32\atiatbxx.sys','');
QuarantineFile('D:\WINDOWS\system32\svshost.dll','');
QuarantineFile('D:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('d:\temp\winlogon.exe','');
QuarantineFile('d:\windows\system32\wininet.exe','');
QuarantineFile('D:\WINDOWS\system32\qz.dll','');
QuarantineFile('D:\WINDOWS\system32\qz.sys','');
DeleteFile('d:\windows\system32\wininet.exe');
DeleteFile('d:\temp\winlogon.exe');
DeleteFile('D:\WINDOWS\system32\ovrscn.dll');
DeleteFile('D:\WINDOWS\system32\svshost.dll');
DeleteFile('D:\WINDOWS\system32\ovrscn.sys');
DeleteFile('D:\WINDOWS\system32\ovwscn.sys');
DeleteFile('D:\WINDOWS\userinit.exe');
DeleteFile('D:\WINDOWS\system32\qz.dll');
DeleteFile('D:\WINDOWS\system32\qz.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Вдогонку, почистите наконец временные файлы интернета, папку D:\Temp\
и почему не выполнен пункт [B]7[/B] правил ? Немедленно это сделать!
Восстановление системы я отключил. А вот папку сейчас почищу логи отошлю!Спасибо за оперативный ответ :-)
Вот, что получилось после выполненного скрипта.
По-моему, стало чисто. :-) За что Вам большое спасибо!Сильно выручили!
Пофиксите с помощью Hijackthis строки: [code]O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O23 - Service: FCI - Unknown owner - D:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code] Обратите внимание, что одна из строк - сервис и фиксится немного по-другому.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\D:\WINDOWS\system32\atiatbxx.sys','');
QuarantineFile('d:\windows\system32\packager.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10951[/url] , как написано в прил. 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
Карантин закачал. Спасибо!:)
[size="1"][color="#666686"][B]Добавлено через 8 минут[/B][/color][/size]
Выздоровление компа близко?:)
Результаты проверки присланных файлов с virustotal:
D:\WINDOWS\system32\atiatbxx.sys:[code]Authentium 4.93.8 07.09.2007 W32/Goldun.gen3
eTrust-Vet 30.8.3777 07.10.2007 Win32/ProcHide!generic
Fortinet 2.91.0.0 07.10.2007 Haxdor!tr
F-Prot 4.3.2.48 07.09.2007 W32/Goldun.gen3
Microsoft 1.2704 07.10.2007 Backdoor:Win32/Haxdoor
Sophos 4.19.0 07.06.2007 Troj/Haxdor-Gen
Symantec 10 07.10.2007 Hacktool.Rootkit[/code]
d:\windows\system32\packager.dll:[code]Authentium 4.93.8 07.09.2007 W32/Goldun.gen1
F-Prot 4.3.2.48 07.09.2007 W32/Goldun.gen1
Ikarus T3.1.1.8 07.10.2007 Trojan-Spy.Win32.Goldun.lw
NOD32v2 2389 07.10.2007 probably a variant of Win32/Spy.BZub
Panda 9.0.0.4 07.10.2007 Suspicious file
Sophos 4.19.0 07.06.2007 Mal/Behav-102[/code]Все-таки, наверное, так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\atiatbxx.sys');
DeleteFile('d:\windows\system32\packager.dll');
DeleteFile('\??\D:\WINDOWS\system32\atiatbxx.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, если останется, пофиксите в Hijackthis строчку [code]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - d:\windows\system32\packager.dll[/code] и сделайте новые логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил
[/URL]
да, какой липкий вирус оказался, да не один!
Спасибо большое за скрипт, сегодня уже не успею,а завтра выложу обязательно логи!:)
Извините, что так долго молчал. Не давали к компьютеру этому подобраться.
Так вот, последний скрипт я выполнил, а вот пофиксить не смог, строчки этой HiJackThis не выдал мне.
Сейчас выложу получившиеся логи, буду ждать от вас ответа с нетерпением. :)
Вот и логи!Прощу ознакомиться,если у кого есть свободная минутка.
Похоже всё. Только почистите временные файлы, отключите не нужные сервисы ( net meeting например )
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Спасибо большое за помощь!Файлы почистил!