Пров блокирует выход в сеть выскакивает сообщение о наличии троянов.
Printable View
Пров блокирует выход в сеть выскакивает сообщение о наличии троянов.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows.0\system32\drivers\spools.exe','');
TerminateProcessByName('c:\windows.0\system32\drivers\spools.exe');
QuarantineFile('c:\documents and settings\user\cftmon.exe','');
TerminateProcessByName('c:\documents and settings\user\cftmon.exe');
DeleteFile('c:\documents and settings\user\cftmon.exe');
DeleteFile('c:\windows.0\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS.0\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS.0\system32\Drivers\Dkq40.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS.0\system32\mssrv32.exe');
BC_ImportAll;
BC_DeleteSvc('Dkq40');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21388[/url]
Повторите логи.
[b]Скачайте свежую версию AVZ - 4.30.[/b]
Скрипт выполнил, после перезагрузки ни одна программа не запускается с ярлыков. Карантин выкладываю.
Попробуйте правой кнопкой мыши - "запуск от имени...".
Если AVZ запустится - выполните скрипт:
[code]begin
ExecuteRepair(1);
RebootWindows(true);
end.[/code]
Файл сохранён как 080411_082409_virus_47ff6679cf0eb.zipРазмер файла 96063MD5 2d49b24ffa9d8c630a3c93f7c0827b2f
WLCtrl32.dll - [b]Trojan-Downloader.Win32.Mutant.hx[/b]
spools.exe, cftmon.exe - [b]Trojan-Downloader.Win32.Small.trp[/b]
Скрипт выполнил, но комп не перегрузился:(
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Нужны новые логи?
Да, только не забудьте AVZ 4.30.
Через "запуск от имени" могу открыть. AVZ не обновил, работаю через телефон.Хиджак не запускается:( Новые логи:
1. Скачайте это: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
распакуйте, запустите, справа внизу нажмите File.
Найдите файлы:
C:\WINDOWS.0\system32\Drivers\Dkq40.sys
C:\WINDOWS.0\system32\WLCtrl32.dll
и сделайте им Force Delete.
2. Пофиксите в HijackThis:
[code]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS.0\SYSTEM32\WLCtrl32.dll
[/code]
3. Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\user\cftmon.exe');
DeleteFile('c:\windows.0\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS.0\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS.0\system32\Drivers\Dkq40.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS.0\system32\mssrv32.exe');
BC_ImportAll;
BC_DeleteSvc('Dkq40');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/code]
Операции выполнять отключив интернет и антивирус.
Потот обновите AVZ и сделайте новые логи.
Меч не запускается, хиджак тоже, от выполнения скрипта в авз результата =0, даже комп не перегружается. Что делать?
[quote=vmax;214429]Меч не запускается, хиджак тоже[/quote]
Попробуйте переименовать exe-шники
hockey.pif это переименованный IceSword.
Можете скачать отсюда:
[url]http://www.megaupload.com/?d=AUGYD37C[/url]
Переименование не помогает, ссылка не работает, как я ещё сюда выхожу не понятно. HELP.
Пункт 2 правил выполняли (проверка CureIt!) ? Если нет - выполните.
+
Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
А exe-файлы вообще запускаются? Вот это еще можете попробовать [url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url] это переименованный IceSword.
С этой ссылки тоже не могу скачать. Вылезает "получение сведений о файле" и всё. Ещё варианты?
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
Запускаются, но не все, и то только "от имени". С этой ссылкой тож самое.
Скопируйте нижеприведенный код в текстовый файл с расширением .inf
[code][Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
[/code]
Нажмите на этот файл правой кнопкой и выберите "Установить".
Запуск программ нормализовался?
При запуске выскакивает ошибка: "установка не выполнена"
Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.
Сделайте новые логи по правилам и прикрепите.