Printable View
[COLOR=black]AVZ ругается на файл ooy35.sys, который находится в папке [/COLOR][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]
[COLOR=black]C:\WINDOWS\system32\Drivers. Этот файл ничем не удаляется, его нельзя даже скопировать. В Сети по нему никакой информации. Система ведет себя подозрительно, может в этом файле все дело? [/COLOR]
[COLOR=black]Подскажите кто знает.[/COLOR]
[/COLOR][/SIZE][/COLOR][/SIZE]
[quote=varloorni;230197][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][COLOR=black]может в этом файле все дело? [/COLOR][/COLOR][/SIZE][/COLOR][/SIZE][/quote]
Да, в нем, а может быть и не только.
Сделайте логи по правилам, и мы вам обязательно поможем.
прикладываю лог.
Не этот лог. Нужны логи по правилам [url]http://virusinfo.info/showthread.php?t=1235[/url] (начиная с пункта 8 ).
Прикладываю логи по правилам.
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rhr48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qvg35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Goq71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ais68.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ooy35.sys','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ooy35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ais68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Goq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qvg35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rhr48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\WinNt32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\BN3.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=23231[/url]).
Сделайте новые логи, начиная с п.10 правил.
логи
Пофиксите
[CODE]O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('gdrv');
DeleteService('gdrv');
StopService('Ooy35');
DeleteService('Ooy35');
QuarantineFile('C:\WINDOWS\System32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ooy35.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ooy35.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ooy35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ooy35.sys');
DeleteFile('C:\WINDOWS\System32\WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки - карантин по правилам и новые логи в студию
новые логи
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]C:\WINDOWS\system32\WinNt32.dll, C:\WINDOWS\System32\Drivers\Ooy35.sys - force delete
пофиксите ...
[code]
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Ooy35');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ooy35.sys','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ooy35.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ..
повторите логи ...
Логи
Теперь чисто. Какие-то проблемы остались ?
Визуально проблем не наблюдается. Всем большое спасибо за труд и помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\local settings\\temp\\bn3.tmp - [B]Trojan.Win32.Pakes.cww[/B] (DrWEB: BackDoor.Bulknet.188)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007495.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007513.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007548.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007612.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp62\\a0007614.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp63\\a0007636.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp63\\a0007658.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\system volume information\\_restore{c5ec8bdd-c139-42f7-947d-25105aaa91f5}\\rp63\\a0007672.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\windows\\system32\\drivers\\ooy35.sys - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[*] c:\\windows\\system32\\drivers\\tcpsr.sys - [B]SpamTool.Win32.Agent.jn[/B] (DrWEB: Trojan.NtRootKit.1070)[/LIST][/LIST]