После перезагрузки ровно спустя 10 мин выскакивает ошибка services and controller app, а ещё через минуту пишет, что система рестартнется через минуту.
Printable View
После перезагрузки ровно спустя 10 мин выскакивает ошибка services and controller app, а ещё через минуту пишет, что система рестартнется через минуту.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\sisbduse.dll','');
QuarantineFile('C:\WINDOWS\system32\pubnfex.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\cvintdrv.SYS','');
QuarantineFile('C:\WINDOWS\system32\vbscsysi.dll','');
QuarantineFile('C:\WINDOWS\system32\statex.dll','');
QuarantineFile('C:\WINDOWS\System32\sisbduse.dll','');
QuarantineFile('C:\WINDOWS\System32\onksd.dll','');
QuarantineFile('C:\WINDOWS\System32\odbcgpkc.dll','');
QuarantineFile('C:\WINDOWS\system32\ksdmgr32.dll','');
QuarantineFile('C:\WINDOWS\System32\e1.dll','');
QuarantineFile('C:\WINDOWS\system32\asfewuau.dll','');
QuarantineFile('c:\windows\mmcc.exe','');
DeleteFile('C:\WINDOWS\system32\asfewuau.dll');
DeleteFile('C:\WINDOWS\System32\e1.dll');
DeleteFile('C:\WINDOWS\system32\ksdmgr32.dll');
DeleteFile('C:\WINDOWS\System32\odbcgpkc.dll');
DeleteFile('C:\WINDOWS\System32\onksd.dll');
DeleteFile('C:\WINDOWS\System32\sisbduse.dll');
DeleteFile('C:\WINDOWS\system32\statex.dll');
DeleteFile('C:\WINDOWS\system32\vbscsysi.dll');
DeleteFile('C:\WINDOWS\system32\pubnfex.exe');
DeleteFile('C:\WINDOWS\system32\sisbduse.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки, если останутся ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKLM\..\Run: [debgdiag] C:\WINDOWS\system32\pubnfex.exe
O9 - Extra button: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing)
O9 - Extra 'Tools' menuitem: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing)
O9 - Extra button: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing)
O9 - Extra 'Tools' menuitem: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing)
O20 - AppInit_DLLs: odbcgpkc.dll e1.dll sisbduse.dll onksd.dll statex.dll
O20 - Winlogon Notify: asfewuau - C:\WINDOWS\system32\asfewuau.dll
O20 - Winlogon Notify: ksdmgr - C:\WINDOWS\SYSTEM32\ksdmgr32.dll
O20 - Winlogon Notify: vbscsysi - C:\WINDOWS\system32\vbscsysi.dll
[/CODE]
Всё сделал так как описано! И вроде не выскакивает такая ошибка, антивирусник работает нормально!
Огромное спасибо за помощь, rubin!
[b]Email-Worm.Win32.Warezov.ta[/b]
[b]Email-Worm.Win32.Warezov.tq[/b]
[b]Email-Worm.Win32.Warezov.pk[/b]
[b]Email-Worm.Win32.Warezov.sz[/b]
Забыл сказать - надо было отключить восстановление системы....
Отключите его сейчас и повторите логи
[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]
C:\WINDOWS\system32\vbscsysi.dll - [b]Virus.Win32.Warezov.CRX[/b] (Ikarus)
c:\windows\mmcc.exe - [b]DroppedWin32.Worm.Stration.EM[/b] (Ikarus)
Оба свеженькие
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Ждем повторных логов с отключенным восстановлением системы :)
Повторить логи присланные вами ? или полностью всё сначала сделать ?
Полностью логи, как Вы делали в 1 посте
Странно, галкочка стояла на выключение востановления системы, но я сделаю всё с начала.
Вот что получилось ....
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\windows\mmcc.exe','');
QuarantineFile('C:\WINDOWS\system32\netuencd.exe','');
QuarantineFile('C:\WINDOWS\system32\perfex.exe','');
QuarantineFile('C:\WINDOWS\system32\vbscsysi.exe','');
DeleteFile('c:\windows\mmcc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Выполнил и выслал карантин.
[b]Email-Worm.Win32.Warezov.ub[/b] c:\windows\mmcc.exe
Остальное в карантин не попало...
в карантине ....
c:\windows\mmcc.exe - [B]Email-Worm.Win32.Warezov.ub[/B]
віполните скрипт ...
[code]
begin
DeleteFile('C:\WINDOWS\system32\vbscsysi.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи
Вот новенькие логи ....
perfex.exe - пришлите по правилам ...
вроде прислал
нет ... в карантине пусто ... попробуйте с отключенным антивирусом ...
антивирус отрублен
открываю AVZ - "Файл" - >"Просмотр карантина"
так есть след строки :
\??\c:\windows\mmcc.exe - BootCleaner quarantine bcqr00001.dat
\??\c:\windows\mmcc.exe - BootCleaner quarantine bcqr00002.dat
\??\C:\WINDOWS\system32\netuencd.exe - BootCleaner quarantine bcqr00003.dat
\??\C:\WINDOWS\system32\netuencd.exe - BootCleaner quarantine bcqr00004.dat
\??\C:\WINDOWS\system32\perfex.exe - BootCleaner quarantine bcqr00004.dat
\??\C:\WINDOWS\system32\perfex.exe - BootCleaner quarantine bcqr00006.dat
\??\C:\WINDOWS\system32\vbscsysi.exe - BootCleaner quarantine bcqr00007.dat
\??\C:\WINDOWS\system32\vbscsysi.exe - BootCleaner quarantine bcqr00008.dat
c:\windows\mmcc.exe Скопирован в МП avz00001.dat
Собственно что я вижу в карантине и присылаю вам файлы perfex
собственно .... я вижу что на диске файл присутствует ... а в архиве его нет ...
можно винить только антивирус ..
в архиве должны быть файлы bcqr00005.ini, bcqr00006.ini ?
желательно ...