Вот такая гадость завелась пока антивирус не стоял, теепрь не знаю как избавиться. Дрвеб вроде трет но при каждом запуске снова находит. Помогите плз.
Printable View
Вот такая гадость завелась пока антивирус не стоял, теепрь не знаю как избавиться. Дрвеб вроде трет но при каждом запуске снова находит. Помогите плз.
На время выполнения скрипта, отключите восстановление системы, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ggq05');
SetServiceStart('Ggq05', 4);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ggq05', 'Start');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ggq05.sys','');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ggq05.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Ggq05');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=16784[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
Угу мне этот Ggq сразу не понравился но выдрать его не могу никак даж в сейф моде. ВИдимо придется с LiveCD. :( Карантил отправил, новые логи прилагаются. Диск I это флешка. После выполнения скрипта и перезагрузки оказалась зараженной. Авторан с ссылкой на Setup.exe
Setup этот ДРвебом не определяется. Вирустотал показывает такую картинку
[url]http://www[/url]. virustotal. com/ru/analisis/e1db35f4b6bb8df989571b1af5ff5d67
Попробуйте так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SetAVZGuardStatus(True);
DeleteFile('I:\autorun.inf');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ggq05\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\system32\Drivers\Ggq05.sys');
BC_DeleteSvc('Ggq05');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ggq05.sys');
BC_Activate;
RebootWindows(true);
end.[/code] После перезагрузки, снова повторите логи, начиная с п. 10 правил, и, если карантин не пустой, загрузите его повторно.
Карантин пустой :(
После выполнения последнего скрипта 'C:\WINDOWS\system32\Drivers\Ggq05.sys' пропал. Дрвеб обнаружил и удалил smtpdrv.sys в той же папке и Nb02.tmp в папке TEMP.
Мда... Откуда-то появилась еще одна запись :( Давайте попробуем еще один скрипт: [code]begin
BC_DeleteSvc('Ouo37');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ouo37.sys');
BC_Activate;
RebootWindows(true);
end.[/code] После перезагрузки, повторите логи. Того злодея, что запускается через autorun.inf, чистить так, как написано здесь: [url]http://virusinfo.info/showthread.php?t=8877[/url]
Результатики
В логах всё нормально. Проблем больше нет?
В диспетчере служб AVZ нашел еще одну гадость там же в драйверах (ctl_w32.sys), удалил ее через аналогичный скрипт и теперь вроде все чисто. Спасибо огромное за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]