При загрузке антивирус обнаруживает 2 трояна - Win32Agent-MEB в папке ...system 32\drivers\ip6fw.sys и Win32:Small-EP в папке
...system 32\runtime.sys. Нажимаешь удалить или в карантин - все
без толку.После перезагрузки они появляются снова.
Printable View
При загрузке антивирус обнаруживает 2 трояна - Win32Agent-MEB в папке ...system 32\drivers\ip6fw.sys и Win32:Small-EP в папке
...system 32\runtime.sys. Нажимаешь удалить или в карантин - все
без толку.После перезагрузки они появляются снова.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Без логов мы как без рук :)
Просто прикрепите к сообщению
При загрузке вылезают 2 трояна, жму удалить или в карантин ,
при перезагрузке все повторяется
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\system32\ufdsvc.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\ufdsvc.exe');
BC_QrSvc('runtime2');
BC_QrSvc('UFDSVC');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('UFDSVC');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - (no file)
O2 - BHO: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file) [/CODE]
Kerish Doctor надо деинсталлировать. Он полон Adware.
rubin спасибо, исчезли, HijackThis не фикситил не понял что там из строки вставлять
kerish Doctor выбросил.
[url]http://virusinfo.info/showthread.php?t=4491[/url]
Здесь описано как фиксить
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Плюс сделайте повторные логи для проверки
[ATTACH]22737[/ATTACH]
[ATTACH]22738[/ATTACH]
[ATTACH]22739[/ATTACH]
Опять куча дерьма в логах. Откуда налавливаете? Два антивируса: Аваст и Бидефендер и не помогают. Надо одного оставлять.
spyprodetector - деинсталлировать.
Сейчас будем писать скрипт.
за последние дни ничего не устанавливалось и не запускалось на машине, кроме IE и проводника работал только с вами.
>:(Восстановление системы отключить срочно!!!>:(
Профиксить:
[CODE]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: sockspy.dll,wbsys.dll
[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wbsys.dll','');
QuarantineFile('sockspy.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('wbsys.dll');
DeleteFile('sockspy.dll');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин и сделать новые логи.
От Симантека на машине что-нибудь установлено? Если нет, то деинсталлировать LiveUpdate, а еще лучше пройтись фирменной утилитой от Симантека.
[ATTACH]22740[/ATTACH]
[ATTACH]22741[/ATTACH]
[ATTACH]22742[/ATTACH]
Сделал все как велено, от симтека вроде ничего не ставилось и антивирус только аваст устанавливался. Карантин большой - 5Мв не дождаться когда загрузится (запросный канал GPRS).Может попозже скину?
Извиняюсь LiveUpdate v3.3 был - удалил.
Логи посмотрю, а Bit Defender надо тоже деинсталлировать.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
После того, как загрузишь карантин, давай еще вот это проверим. Выполнить скрипт:
[CODE]begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\drivers\oreans32.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить, если попадет в карантин.
А что такое здоровое попало в карантин?
файл там большой с расширением DTA, правда есть еще 3 с таким же расширением
но маленькие и еще конфигурационные (я имею ввиду папку созданную сегодняшним числом в папке Quarantine). Сколько там вообще файлов должно быть? Bit Defender выкинул
Там tcpip.sys здоровый. Его можно отдельно загрузить. Мне почему-то кажется, что он чистый, а вот остальные как раз интересные.
Логи начальные посмотрю, может еще чего можно на потом оставить.