вирус startdrv.exe NOD32 определяет его как win32/trojanDownloaderAgent.NTU. Помогите удалить!Логи прилагаю.
Printable View
вирус startdrv.exe NOD32 определяет его как win32/trojanDownloaderAgent.NTU. Помогите удалить!Логи прилагаю.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Lqv15');
SetServiceStart('Lqv15', 4);
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\koos.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb04.sys','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv15.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\Temp\BN6.tmp','');
DeleteFile('C:\Temp\BN6.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Lqv15.sys');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb04.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\koos.exe');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
BC_ImportDeletedList;
DeleteService('Lqv15');
DeleteService('ctl_w32');
DeleteService('kprof');
DeleteService('poof');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21013[/url]).
Сделайте новые логи.
Большое спасибо, кажется помогло. Карантин загрузил. Новые логи прикладываю.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('poof');
DeleteService('ctl_w32');
DeleteService('kprof');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('poof ');
BC_DeleteSvc('ctl_w32 ');
BC_DeleteSvc('kprof ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.Повторите логи.
Судя по логам, действительно помогло :)
Наверно после скрипта еще придется пофиксить в HijackThis:
[code]
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
Логи можно сделать начиная с п.10 правил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\temp\\bn6.tmp - [B]Trojan-Downloader.Win32.Agent.mkb[/B] (DrWEB: Trojan.DownLoader.56617)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.hx[/B] (DrWEB: Trojan.DownLoader.56882)[/LIST][/LIST]