Своими силами не получается. Dr Web находит, удаляет, но при перезагрузке снова начинает качать, занимает весь трафик
Printable View
Своими силами не получается. Dr Web находит, удаляет, но при перезагрузке снова начинает качать, занимает весь трафик
Отключите интернет и антивирус.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\NTD632.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\pxF86.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Luc64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Iqx86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sah32.sys','');
QuarantineFile('C:\WINDOWS\system32\msinet.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\fci.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Sah32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Sah32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\fci.exe');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\msinet.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Sah32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iqx86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Luc64.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pxF86.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\Temp\NTD632.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Iqx86');
BC_DeleteSvc('Luc64');
BC_DeleteSvc('protect');
BC_DeleteSvc('pxF86');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Sah32');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24004[/url]).
Обновите базы AVZ.
Сделайте новые логи, начиная с п.10 правил.
При выполнении второго скрипта AVZ закрылся. Отправляю только один скрипт и лог. ССылка на карантин не открывается, Эксплорер зависает, хотя трафика вроде нет. Вложения не делаются, кнопки залипают.
Вынужден отправить файлы с другого компа. Больной комп так и не смог прицепить файлы к сообщению и не смог доделать скрипт. Просто виснет, перезагрузка не помогает.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Sah32.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Recycled\Dc2539.exe','');
BC_DeleteSvc('Sah32');
QuarantineFile('C:\WINDOWS\system32\Drivers\Sah32.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Sah32.sys');
DeleteFile('C:\Recycled\Dc2539.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Не могу отправить карантин,- нажимаю ссылку и все виснет. и при выполнении скрипта стандартного №3 после 15 минутной проверки просто закрывает AVZ. Пытаюсь отправить что есть- не получается, при нажатии кнопки "управление вложениями" минуты полторы "виснет", потом отпускает и при нажатии снова - тоже самое.
Что еще можно сделать без отправки логов?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Да, скачал еще по ссылке IseSword, но там нет такого C:\WINDOWS\System32\Drivers\Sah32.sys - force delete, может надо как-то самому этот путь прописать?
нажимпете на кнопочку file появится проводник найдете в нем C:\WINDOWS\System32\Drivers\Sah32.sys - потом правой кнопкой мыки Force delete
так делали ?
У меня там его уже нет, и трафик не качает. Вроде все нормально, но не могу прицепить логи, просто не открывается окно при нажатии кнопки "управление вложениями" и аналогично карантин.
Прицепляю логи с другого компа.
...логи с моего больного компьютера, просто с него отправить не могу, поэтому на флешке принес на другой комп и отправиляю с него. Но чето- сам не вижу их здесь. А этого C:\WINDOWS\System32\Drivers\Sah32.sys - еще раз все проверил - нет, может переименовывается, но щас вроде и вирусов-то нет, все работает нормально.
[QUOTE=stk18;236853]У меня там его уже нет.[/QUOTE]
да ну ... а в модулях пространсва ядра значится .... так не бывает ...
где новые логи ... ? для другого компьютера новая тема ...
4052.PIF- поищите при помощи авз и пришлите по правилам ...
[quote=V_Bond;236922]4052.PIF- поищите при помощи авз и пришлите по правилам ...[/quote]
Открываю авз, поиск файла на диске, отмечаю все жесткие диски, в строке поиска пишу 4052.pif, пуск - и ничего не находит.
А проблема щас вот с чем. Експлорер по адресной строке заходит на страницу, а вот по ссылкам на этой странице долго думает и не заходит. Поэтому и логи не могу отправить.
сделайте новые логи ...
переустановил IE 7.0 - все нормально, Отправляю логи
пофиксите ( возможно придется ввести заново настройки днс (есть в договоре провайдера))
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D84191C-7DF8-4D9F-9F9B-D36DB51D31F4}: NameServer = 85.255.113.125,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{820506F3-1C2A-4F47-ABFB-C80776A00E9A}: NameServer = 85.255.113.125,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{C07BEFE9-C184-4C1A-8C28-84E6571316EB}: NameServer = 85.255.113.125,85.255.112.159
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
[/code]
выполните скрипт ...
[code]
begin
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...
Было:
Dc2539.exe - Trojan-Downloader.Win32.Mutant.zn
Sah32.sys - Email-Worm.Win32.Agent.fy
логи
в логах ничего зловредного ...
Чем лучше предохраняться? И чтоб надежно и бесплатно?
[QUOTE=stk18;239484]Чем лучше предохраняться? И чтоб надежно и бесплатно?[/QUOTE]
Знания помноженные на опыт, разум и не трясущиеся руки.... (про руки, это чтоб случайно не кликать мышой) ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycled\\dc2539.exe - [B]Trojan-Downloader.Win32.Mutant.zn[/B] (DrWEB: Trojan.Rntm.6)[*] c:\\windows\\system32\\drivers\\sah32.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.207)[/LIST][/LIST]