-
Вложений: 3
Выключается монитор
Около недели назад Avast начал фиксировать в папке c:\windows\temp файлы типа BN8 (BNA...8) зараженные вирусом win32:Agent-wjt[trj], при попытке удаления этого файла программами типа IceSword (как здесь советовали при подобной проблемме) выявлялся вирус в c:\windows\system32\drivers\vde2nzm5.sys win32:trojan-gen, после пары сканирований всей системы до загрузки windows, в результате которой всегда обнаруживались разные вирусы, монитор после входа в интернет начал выключаться, причем системник судя по всему работал, проблему после установки outpost удалось решить путем блокирования всех подозрительных процесов, но вирусы так и остались при отключении outpost все повторяется !!!!
-
Пофиксить
[CODE]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: ABBYY.Licensing.FineReader.Professional.9.0 - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)
O23 - Service: AppMgmt - Unknown owner - C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe (file missing)[/CODE]
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}');
DeleteService('Msx38');
StopService('Msx38');
StopService('Ubg84');
DeleteService('Ubg84');
StopService('Rxd38');
DeleteService('Rxd38');
StopService('huadio');
DeleteService('huadio');
StopService('mapmem');
DeleteService('mapmem');
StopService('Hpu17');
DeleteService('Hpu17');
StopService('Qvb73');
DeleteService('Qvb73');
StopService('AppMgmt');
DeleteService('AppMgmt');
StopService('Amstcmsapwin');
QuarantineFile('Amstcmsapwin.sys','');
DeleteService('Amstcmsapwin');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys','');
QuarantineFile('D:\distrib\CS 1.6\3-ssc\ssclient.cmd','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ubg84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Msx38.sys','');
QuarantineFile('c:\mapmem.tmp','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hpu17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb73.sys','');
QuarantineFile('C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Qvb73.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Qvb73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('Amstcmsapwin.sys');
DeleteFile('C:\DOCUME~1\ADF35~1\LOCALS~1\Temp\5\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hpu17.sys');
DeleteFile('c:\huadio.tmp');
DeleteFile('c:\mapmem.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\Msx38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ubg84.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачать карантин и повторить логи.
-
Вложений: 3
пока BN9 в windows\temp появляется !
-
Все выполнять при отключенном антивирусе и интернете!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:Qvb73.sys,WinNt32.dll,tcpsr.sys,правая кнопка мыши Force Delete.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqv38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bhm16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvb73.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('Jqv38');
DeleteService('Lrw30');
DeleteService('Bhm16');
DeleteService('Qvb73');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Bhm16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqv38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw30.sys');
DeleteFile('WinNt32.dll');
DeleteFile('C:\System Volume Information\_restore{5FF44690-0A0C-4884-BD84-1A6F3AD064A3}\RP400\A0148591.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Jqv38 ');
BC_DeleteSvc('Lrw30 ');
BC_DeleteSvc('Bhm16 ');
BC_DeleteSvc('Qvb73 ');
BC_DeleteSvc('tcpsr ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22832[/url]
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
-
Вложений: 3
Вирусы больше вроде не появляются. Только переодически разрывается соединение, но это возможно OUTpost !
-
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Qvb73');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Qvb73 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\[/CODE]
Повторите логи.
-
Вложений: 3
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\activationmanager\\activationmanager.dll - [B]Trojan.Win32.BHO.bjn[/B] (DrWEB: Trojan.BhoSpy.5)[*] c:\\system volume information\\_restore{5ff44690-0a0c-4884-bd84-1a6f3ad064a3}\\rp400\\a0148591.dll - [B]Trojan.Win32.BHO.byf[/B] (DrWEB: Trojan.BhoSpy.5)[*] c:\\windows\\system32\\drivers\\bhm16.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.188)[*] c:\\windows\\system32\\drivers\\tcpsr.sys - [B]SpamTool.Win32.Agent.jn[/B] (DrWEB: Trojan.NtRootKit.1070)[*] c:\\windows\\system32\\drivers\\ubg84.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.188)[*] c:\\windows\\system32\\winnt32.dll - [B]Trojan-Downloader.Win32.Mutant.wf[/B] (DrWEB: Trojan.DownLoader.59773)[/LIST][/LIST]
Page generated in 0.00990 seconds with 10 queries