Немогу выполнить указанные Вами действия, при выполнении скриптов
комп перезагружается.
AVZ нашла Backdoor.Win32.Agobot.akd но не удаляет и не лечит.
Printable View
Немогу выполнить указанные Вами действия, при выполнении скриптов
комп перезагружается.
AVZ нашла Backdoor.Win32.Agobot.akd но не удаляет и не лечит.
Попробуйте сделать логи в безопасном режиме,
и дополнительно лог как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
вот:
[code]
O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll (file missing)
O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\system32\yatool.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - Startup: PowerReg Scheduler.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\yatool.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('asc355O.sys','');
QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
DeleteFile('System32\DRIVERS\smtpdrv.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sab15','Start');
DeleteFile('asc355O.sys');
DeleteFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
BC_DeleteSvc('asc355O');
BC_DeleteSvc('ICF');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\yatool.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
после перезагрузки еще один ...
[code]
begin
BC_QrSvc('Sab15');
BC_DeleteSvc('Sab15');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
AVZ пишет ошибка в скрипте
Ошибка: ')' expected в паозиции 12:82
Опечатка в скрипте. Выполните такой скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\yatool.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('asc355O.sys','');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sab15','Start');
DeleteFile('asc355O.sys');
DeleteFile('C:\DOCUME~1\$K9CD5~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
BC_DeleteSvc('asc355O');
BC_DeleteSvc('ICF');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\yatool.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
не помогло =(
Скрипт из безопасного режима запускал, т.к в обычном ребутится.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\System32\Drivers\ary9phhe.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\Sab15.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\ldr12.tmp ');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи ...
virusinfo_cure.zip уберите из темы это карантин...
вроде все нормально, спасибо
C:\WINDOWS\system32\ldr12.tmp [B]Backdoor.Win32.Agobot.akd[/B]
C:\Downloads\klwk.com - чистый ...
C:\WINDOWS\system32\Drivers\asc355O.sys [B]Trojan.Proxy.Saturn.A [/B](BitDefender)
ничего зловредного больше не вижу если проблем больше нет лечение можно считать завершенным...
На всякий случай пришлите по правилам файл:
[b]C:\WINDOWS\system32\DRIVERS\tcpip.sys[/b]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\asc355o.sys - [B]Trojan.Win32.KillAV.lz[/B] (DrWEB: Trojan.NtRootKit.392)[*] c:\\windows\\system32\\ldr12.tmp - [B]Backdoor.Win32.Agobot.akd[/B] (DrWEB: Win32.HLLW.Agobot)[/LIST][/LIST]