Добрый день, помогите убить эту вредоносную программу. Антивирус не помогает, в реестре тоже удалить не могу. Из-за нее комп нереально глючит. Прикрепляю логи AVZ и HiJackThis
Printable View
Добрый день, помогите убить эту вредоносную программу. Антивирус не помогает, в реестре тоже удалить не могу. Из-за нее комп нереально глючит. Прикрепляю логи AVZ и HiJackThis
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('zxcstat.dll','');
QuarantineFile('zxcmgr32.dll','');
QuarantineFile('ifcmgr32.dll','');
QuarantineFile('confxxn.dll','');
QuarantineFile('confzxc.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('C:\WINDOWS\system32\zxcconf.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
QuarantineFile('C:\WINDOWS\dllksr32.exe','');
QuarantineFile('c:\program files\winamp\winampa.exe','');
QuarantineFile('c:\windows\system32\amupdsvc.exe','');
DeleteFile('C:\WINDOWS\dllksr32.exe');
DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
DeleteFile('C:\WINDOWS\system32\zxcconf.exe');
DeleteFile('e1.dll');
DeleteFile('confzxc.dll');
DeleteFile('confxxn.dll');
DeleteFile('ifcmgr32.dll');
DeleteFile('zxcmgr32.dll');
DeleteFile('zxcstat.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
После перезагрузки [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,C:\WINDOWS\system32\idaw64.exe,
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\dllksr32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\dllksr32.exe
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: confxxn.dll e1.dll confzxc.dll zxcstat.dll
O20 - Winlogon Notify: autoplus - C:\WINDOWS\
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: zxcmgr - zxcmgr32.dll (file missing)
[/CODE]
И повторите логи
выполните скрипт...
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/code]
затем еще один...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\zxcconf.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
QuarantineFile('C:\WINDOWS\dllksr32.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\drivers\tdicf.sys','');
QuarantineFile('Nh.sys','');
QuarantineFile('C:\WINDOWS\system32\amupdsvc.exe','');
QuarantineFile('zxcstat.dll','');
QuarantineFile('zxcmgr32.dll','');
QuarantineFile('ifcmgr32.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confzxc.dll','');
QuarantineFile('confxxn.dll','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\WINDOWS\system32\wupdsvc3.exe','');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system32\wupdsvc3.exe');
DeleteFile('confxxn.dll');
DeleteFile('confzxc.dll');
DeleteFile('e1.dll');
DeleteFile('zxcmgr32.dll');
DeleteFile('C:\WINDOWS\system32\amupdsvc.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\dllksr32.exe');
DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
DeleteFile('C:\WINDOWS\system32\zxcconf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...
Высылаю
[color=#CC0000][moderated][/color]
[QUOTE=zerocorporated;151825]2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL][/QUOTE]
карантин выслал занова
вот логи из AVZ
Из-за вируса у меня перестали работать некоторые программы. Вот после выполненных действий я попробовал запустить Adobe Illustrator. Повис при загрузке...
выполните скрипт...
[code]
begin
BC_DeleteSvc('msupdate');
BC_DeleteSvc('amupdsvc');
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте полный комплект логов ...
Неработающие программы вероятно придется переустанавливать.
Проблема в том, что дистриба к ним уже нет :(
Вот логи, syscure нужен?
конечно ...
Наконец-то проверка закончилась, вот syscure
удалите временные интернет файлы ...
выполните скрипт...(я так понял мой скрипт из поста 3 вы не выполняли)
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system32\wupdsvc3.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите только последний лог ...
Временные файлы удалил, скрипт выполнил, минут через 15 (как все проверится) получу лог и скину
наконец-то проверка закончилась, высылаю лог
в логах не вижу ничего зловредного ....
осталось разобраться с жтим....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: к ПК разрешен доступ анонимного пользователя
вот это убрать, остальное оставить
Спасибо огромное за помощь, как вас отблагодарить?
странный выбор .... пожалуйста ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
[/code]
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
[quote=ARmY;151882]>> Безопасность: к ПК разрешен доступ анонимного пользователя
вот это убрать, остальное оставить[/quote]
Действительно, странно. Я бы предложил вот это оставить, а все остальное убрать ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]68[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]