-
Троян
Всё началось с того, что я поймал трояна, и avast ругался на файл Deflib.sys, и avast говорил что с моего компьютера идёт отсылка большого количества идентичных электронных писем (на разные адресса), потом каким-то образом у меня перестал загружаться автоматически "avast" и тут компьтер заполонили вирусы, я попытался полечить его опячть-таки авастом, но компьтер загружал винду и как токо доходил до момента загрузки рабочего стола он перезагружался, я загрузил винду последней нормальной загрузки, и вот теперь прошу у вас помощи...:'-( помогите пожалуйста... остальные программы которые указаны у вас в правилах тоже непомогли
-
выполните скрипт...
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
[/code]
после перезагрузки еще один...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('c:\docume~1\758d~1\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\windows\ntdump.exe','');
DeleteFile('c:\docume~1\758d~1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\qy.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\kernel%32.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
DeleteFile('c:\windows\system32\klogini.dll');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\i.a3d');
DeleteFile('c:\windows\system32\p2.ini');
DeleteFile('c:\windows\system32\redir.a3d');
DeleteFile('c:\windows\system32\tnfl.a3d');
DelWinlogonNotifyByFileName('ovrscn.dll ');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пофиксите...
[code]
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\758D~1\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O22 - SharedTaskScheduler: Hex port setting - {8D5849C4-93F3-429D-FF34-260A2068897C} - (no file)
[/code]
пришлите карантин согласно приложения 3 правил....
повторите логи..
-
Спасибо, частично помогло:) больше нет рассылки (аваст не ргуается)
пофиксить первую и вторую строчку не удалось так как таких не нашёл
И по-прежнему Troyan Remover по-прежнему ругается на Deflib.sys
ещё при загрузке я не сказал почему-то загружается папка Мои документы с проводником каждый раз.
вот высылаю файлы вместе с карантином
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
почему-то не прикрепляются файлы((
-
удалите предыдущие ...
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
-
Вложений: 3
после выполнения скрипта и перезагрузки сканер Троянремувера снова выдал Deflib.sys
-
удалите временные интернет файлы...
очистите карантин DrWeb
пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\ntdump.exe','');
QuarantineFile('C:\WINDOWS\n.pif','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\update177.exe ','');
QuarantineFile('c:\program files\activationmanager\activationmanager.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\update177.exe ');
DeleteFile('c:\program files\activationmanager\activationmanager.dll');
BC_DeleteSvc('protect');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи ...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\shdrzhu7\\abbaa[1].exe - [B]Trojan.Win32.Pakes.dm[/B] (DrWEB: BackDoor.Bulknet.77)[*] c:\\documents and settings\\огго\\local settings\\temporary internet files\\content.ie5\\gvtf66fp\\603-a[1].exe - [B]Trojan.Win32.Agent.asu[/B] (DrWEB: Trojan.Packed.147)[*] c:\\documents and settings\\огго\\local settings\\temporary internet files\\content.ie5\\0jkz05o7\\loader[1].exe - [B]Trojan-Downloader.Win32.Tiny.ly[/B] (DrWEB: Trojan.DownLoader.34714)[*] c:\\docume~1\\758d~1\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.gp[/B] (DrWEB: Trojan.Packed.147)[*] c:\\program files\\activationmanager\\activationmanager.dll - [B]not-a-virus:AdWare.Win32.BHO.de[/B] (DrWEB: Adware.AdsTech)[*] c:\\windows\\n.pif - [B]Trojan-Downloader.Win32.Tiny.ly[/B] (DrWEB: Trojan.DownLoader.34714)[*] c:\\windows\\ntdump.exe - [B]Trojan-Spy.Win32.Webmoner.eo[/B] (DrWEB: Trojan.PWS.Webmonier)[*] c:\\windows\\system32\\update177.exe - [B]Trojan.Win32.Pakes.dm[/B] (DrWEB: BackDoor.Bulknet.77)[/LIST][/LIST]
Page generated in 0.00012 seconds with 10 queries